Cosa fare quando ci si trova di fronte a un caso di violazione della Privacy? Ti svelo un'informazione che sanno ancora in pochi: il Regolamento Europeo prescrive una procedura di segnalazione obbligatoria. Tra meno di un anno entrerà in vigore in modo definitivo il nuovo regolamento europeo in materia di protezione dei dati personali (regolamento n. 679/2016 ), e con esso anche tutta una serie di novità relativa a doveri e obblighi delle aziende e delle PA per il trattamento dei dati. Vediamo insieme cosa comporta.
Tra le novità introdotte c'è anche l’obbligo di comunicazione delle violazioni di dati personali. Questo ovviamente mette le aziende di fronte a una costante auto-valutazione. Tutte le imprese che gestiscono database dovranno affrontare l'eventuale violazione con approccio propositivo: l'errore non dovrà più essere commesso.
Innanzitutto la definizione.
Per violazione di dati personali o data breach il Regolamento Europeo intende: "La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati".
Quindi, qualsiasi evento che comporti la perdita di dati volontaria o involontaria è considerato una violazione della Privacy, a prescidere dalla causa che può essere:
Il nuovo regolamento europeo quindi introduce l’obbligo da parte del titolare del trattamento, di comunicare il data breach alle autorità competenti, il Garante Privacy, dove possibile entro 72 ore dal momento in cui si viene a conoscenza del problema. E in caso di violazioni gravi, sussiste anche l’obbligo di comunicazione anche ai soggetti interessati a cui questi dati si riferiscono.
L’obbligatorietà di comucazione del data breach comporta per le aziende private e le pubbliche amministrazioni, l’obbligo di verificare che siano state attuate tutte le misure adeguate di protezione dei dati in loro possesso, attraverso sistemi tecnologici e valutazioni del rischio.
La comunicazione di violazione dei dati deve essere presentata tramite un apposito modulo che riporti chi sono i responsabili del trattamento, i dati del DPO se presente, l’indicazione dei dati persi o rubati, e i vari sistemi che erano in atto per prevenire o ridurre il danno.
La mancata osservanza degli obblighi previsti dal regolamento, relativi al data breach, comporta sanzioni pecuniarie di elevata entità, fino a 10.000.000 di Euro o fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. Leggi anche questo articolo che ti spiega come evitare le multe.