Sono partite il 1° luglio 2021 le nuove modalità di notifica telematica del data breach privacy. Il Garante per la protezione dei dati personali ha allestito una pagina web https://servizi.gpdp.it/databreach/s/ per agevolare alcune funzioni, come l’avviso automatico nel caso di notifiche ancora da completare e la possibilità di caricare file per illustrare meglio l’accaduto.Sulla stessa pagina internet si trova un fac simile del modello, le istruzioni per la compilazione oltre che alcune schede divulgative.

Obblighi in caso di data breach – artt. 33 e 34 del Regolamento Ue n. 2016/679

I titolari del trattamento (imprese, professionisti, enti pubblici, associazioni), in caso di data breach, devono valutare se la violazione rilevata comporti o meno l’obbligo di notifica in questione. Nella valutazione il titolare deve considerare se:

a) la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

b) la violazione non sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

c) siano necessari ulteriori elementi per effettuare la valutazione del rischio per i diritti e le libertà delle persone fisiche.

I fattori da considerare sono: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati, la gravità delle conseguenze per gli interessati, le caratteristiche particolari dell’interessato, le caratteristiche particolari del titolare del trattamento dei dati, nonché il numero di interessati coinvolti.

Il Garante sottolinea che comunque vanno notificate unicamente le violazioni che possono avere “effetti avversi significativi” sugli individui, causando danni fisici, materiali o immateriali.

Sul sito del Garante si trova una piccola rassegna di casi che può costituire un supporto utile alla valutazione https://www.garanteprivacy.it/regolamentoue/databreach  e in un documento del comitato dei garanti europei (Edpb) si trovano altri esempi significativi https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_en .

Sul sito del Garante della privacy si trovano i seguenti esempi:

- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

- il furto o la perdita di dispositivi informatici contenenti dati personali;

- la deliberata alterazione di dati personali;

- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

-la divulgazione non autorizzata dei dati personali.

Nuove modalità di notifica dal 1° luglio

Per assolvere all’obbligo di notificazione al Garante, dal 1° di luglio 2021, è disponibile l’apposita, nuova procedura telematica che dovrà essere utilizzata anche per la trasmissione di informazioni integrative riferite a notifiche trasmesse con le previgenti modalità.

La procedura consente reminder automatici in caso la prima notifica al Garante – entro le 72 ore - sia ancora incompleta in attesa delle indagini in corso volte a verificare la dimensione e gli effetti del data breach.

La nuova procedura provvede a classificare la notifica come “da integrare” nelle ipotesi in cui la stessa sia stata qualificata come “preliminare” oppure, siano state omesse informazioni essenziali ai fini di una corretta valutazione dei fatti.

In questi casi, i titolari del trattamento saranno destinatari di messaggi automatici con i quali vengono informati, e sollecitati, a compiere le dovute azioni successive (l’integrazione) con l’indicazione delle motivazioni. I messaggi saranno inviati, con cadenza periodica.

Altra possibilità in più offerta dalla procedura telematica è l’upload di allegati contenenti ulteriori informazioni di dettaglio.

Cosa fare in caso di data breach

In sostanza in caso di data breach l’impresa/il titolare del trattamento deve immediatamente:

1) accertare il fatto per capire cosa sia successo;

2) analizzare l’accaduto per appurare se sia derivata una violazione dei dati e definirne la gravità;

3) agire: notificando al Garante della privacy, informando gli interessati e organizzando internamente le misure correttive.

Dal punto di vista dell’organizzazione interna si deve:

• verificare come ripristinare i sistemi violati e come rimediare ai danni emersi o provocati dal data breach.
• annotare la violazione nel registro delle violazioni che ogni impresa deve conservare e tenere aggiornato a prescindere dalla notificazione al Garante.