Si configura una violazione dei dati personali (o data breach) quando una violazione di sicurezza comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il Garante ne fa alcuni esempi: l’accesso/acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, la deliberata alterazione di dati personali, l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc., la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, la divulgazione non autorizzata dei dati personali

Adempimenti del titolare del trattamento:

  • Tempestiva notifica via pec nelle 72 ore successive (il ritardo va motivato) utilizzando l’indirizzo protocollo@pec.gpdp.it e inserendo l’oggetto “notifica violazione dati personali” e opzionalmente la denominazione del titolare del trattamento;
  • ove la violazione comporti un rischio elevato per i diritti delle persone, ne va data comunicazione a tutti gli interessati (con l’unica eccezione che siano già state prese misure tali da ridurne l’impatto);
  • al fine di consentire all’Autorità di controllare che la normativa sia rispettata, ogni violazione va documentata predisponendo, ad esempio, un registro contenente data e ora della violazione, sorgente dell’informazione, conseguenze della violazione in ordine alla quantità di dati personali e di interessati coinvolti, data e ora della notifica della violazione all’autorità di controllo e motivo del ritardo o della mancata comunicazione, cause della violazione e provvedimenti adottati in seguito;
  • la notifica deve contenere la natura della violazione dei dati personali (categorie e numero approssimativo di interessati e di registrazioni dei dati personali), il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni, la descrizione delle probabili conseguenze della violazione e delle misure adottate o di cui si propone l’adozione per rimediare alla violazione dei dati personali e per attenuarne i possibili effetti negativi (vedi provvedimento n. 106/2019 del Garante della Privacy che definisce “carente” la comunicazione di una società fornitrice di servizi di posta elettronica, stabilendo che essa dovrà contenere “una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi”).

Il titolare del trattamento è dispensato dalla suddetta comunicazione quando:

  1. a) abbia messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure siano state applicate ai dati personali oggetto della violazione (con particolare riferimento alle misure atte a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura);
  2. b) abbia successivamente adottato misure idonee a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  3. c) la comunicazione richiederebbe sforzi sproporzionati (in tal caso è sufficiente una comunicazione pubblica che informi efficacemente gli interessati).

Per qualificare il rischio come elevato occorrerà valutare il tipo di “breach” (la violazione dei dati sanitari di tutti i pazienti di un ospedale è ben diversa dalla perdita dei dati sanitari di un singolo paziente), la natura, numero e grado di sensibilità dei dati personali violati (l’accesso al nome e all’indirizzo dei genitori di un figlio rappresenta un rischio diverso rispetto all’accesso da parte dei genitori naturali del nome e dell’indirizzo dei genitori adottivi), la facilità di associare i dati violati ad una persona fisica, la gravità delle conseguenze (è ad esempio il caso della sostituzione di persona) e il numero di interessati esposti al rischio ed infine le caratteristiche del titolare del trattamento (un attacco ad una struttura ospedaliera è ovviamente diverso dall’attacco ad una piccola azienda).

Quanto alle sanzioni l’ICO, il Garante inglese, ha di recente annunciato sanzioni pecuniarie sia alla catena di alberghi Marriott che alla British Airways: nel primo caso è emersa una falla nei sistemi della Starwood Hotels, poi acquisita dalla Marriott, che ha messo a rischio i dati di 500 milioni di clienti, nel secondo il motivo risiede nelle misure di sicurezza ritenute scadenti (“poor security arrangements”). L’ICO ha in questi casi determinato entità delle sanzioni in proporzione all’enorme numero di dati utenti i cui dati personali sono stati messi a rischio  nel caso dei Marriott Hotels, mentre, per quanto riguarda la British Airways, dalla negligenza e scarsa attenzione nella applicazione di misure adeguate in procedure informatiche fondamentali quali quelle di log-in, nelle prenotazioni, nei pagamenti e nella stessa identificazione degli utenti.