Cosa bisogna fare in caso di data breach, in quanto tempo e come comunicarlo agli utenti, sono i quesiti che ancora si pongono le aziende che trattano dati personali a vari livelli ad un anno dall' entrata in vigore del nuovo regolamento europeo.

Intanto per coloro che ancora non hanno ben inteso il suo significato, ricordiamo che il termine Data Breach vuol dire letteralmente 'violazione dei dati', e secondo quanto previsto dall'art. 4 del Nuovo Regolamento Europeo (GDPR), per violazione dei dati personali, si intende più precisamente:

'la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione , la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati'.

Nel caso quindi si verifichi una situazione simile, il Titolare del trattamento dei dati, dovrà nel più breve tempo possibile e nella maniera più chiara e comprensibile, comunicare ai diretti interessati la natura della violazione, le circostanze in cui si è verificata, nonchè le possibili conseguenze e gli interventi messi in atto per arginare tali conseguenze.

Quali sono i tempi di notifica  al Garante ed ai diretti interessati dell'avvenuta violazione ?

Il nuovo regolamento europeo ha previsto che la comunicazione dell'avvenuta violazione dei dati personali di cui si è titolari, avvenga nel minor tempo possibile da quando se n'è venuti a conoscenza, e comunque entro le 72 ore.

Attenzione però, perchè ci sono delle eccezioni in relazione alla natura dei dati personali violati ed alla tipologia di attività!

• Per le società telefoniche ed internet provider, l'obbligo di notificare al Garante la presenza di un data breach , attraverso un apposito modello,  è fissato in 24 ore dalla scoperta dell'evento, ed entro 72 ore la comunicazione dovrà essere estesa a tutti gli interessati.

• Per le Amministrazioni Pubbliche, la tempistica di notifica al Garante scende a 48 ore dalla conoscenza del fatto, e sempre attraverso apposito modello, il Titolare dovrà comunicare tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati.

• Per le Strutture Sanitarie Pubbliche e Private, la notifica al Garante è fissata in 48 ore dalla conoscenza del fatto, tempistica nella quale sono tenute a comunicare tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario.
  Tale tempistica scende alle 24 ore dalla scoperta dell'evento, se le violazioni  dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi.

Come notificare le violazioni dei dati al Garante?

Il Garante ha disposto dei modelli di comunicazione da adottare in caso di data breach, per le aziende telefoniche ed internet provider, per le amministrazioni pubbliche e per le strutture sanitarie.

Lo stesso Garante però precisa, che la notifica di un data breach agli utenti non è dovuta  se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, ma nei casi più gravi, può comunque imporre la comunicazione agli interessati.

Inoltre, per consentire l’attività di accertamento del Garante, società telefoniche e provider devono tenere un inventario costantemente aggiornato delle violazioni subite.

Che sanzioni ci sono in caso di mancata comunicazione di una violazione al Garante?

Sono previste una serie di sanzioni amministrative in caso di mancata comunicazione della presenza di un data breach, e nello specifico sono previste:  

• per mancata o ritardata comunicazione al Garante: da 25mila a 150mila euro;
• per omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata;
• per mancata tenuta dell’inventario delle violazioni aggiornato: da 20mila a 120mila euro.

Inserisci la tua email per scaricare i modelli di comunicazione al Garante in caso di data breach