Condividi la notizia

Data breach

Privacy: Violazioni di dati personali in base al Regolamento UE 2016/679

Gli esempi, le azioni, le linee guida e gli approfondimenti.

Fonte: Garante Privacy, comunicaCOSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?*

Una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. 

 

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

 

Alcuni possibili esempi: 

- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

- il furto o la perdita di dispositivi informatici contenenti dati personali;

- la deliberata alterazione di dati personali;

- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; 

- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

- la divulgazione non autorizzata dei dati personali.

 

 

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. 

 

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. 

 

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. 

 

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

 

 

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali. 

 

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

 

 

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?**
 

La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).

 

Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.

 

 

COME INVIARE LA NOTIFICA AL GARANTE?

 

La notifica deve essere inviata al Garante tramite posta elettronica all'indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identità del firmatario.

 

L'oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

 

 

LE AZIONI DEL GARANTE

 

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.  

* La scheda ha mero valore divulgativo ed è in continuo aggiornamento in base all’evoluzione delle indicazioni applicative del Regolamento (UE) 2016/679.

** Il Garante renderà prossimamente disponibile una procedura online.
 

LINEE GUIDA

 

Linee guida in materia di notifica delle violazioni di dati personali (data breach notification) - WP250, definite in base alle previsioni del Regolamento (UE) 2016/679

Adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017
Versione emendata e adottata il 6 febbraio 2018

 

 

APPROFONDIMENTI

- Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali - Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili

 

- VIDEO - Sicurezza, minimizzazione dei rischi e data breach - Intervento tenuto nel corso dell´incontro "Regolamento UE. Il Garante per la protezione dei dati personali incontra la PA" (tappa di Bari, 15 gennaio 2018)

Fonte: Garante Privacy, comunicato del 3.9.2019

 

La Direzione

(5 settembre 2019)

© RIPRODUZIONE CONSENTITA Italian Open Data License 2.0
(indicazione fonte e link alla pagina)

DIVENTA FAN DEL QUOTIDIANO DELLA P.A.

Potrebbe Interessarti

Condividi la notizia

19 maggio 2014
Elezioni europee | Le regole per un corretto uso dei dati personali dei cittadini.

 
 
Condividi la notizia

7 maggio 2016
Consumatori | Una guida ad hoc che illustra le regole per il corretto trattamento dei dati personali. Le garanzie per il debitore.

 
 
Condividi la notizia

7 maggio 2016
Unione europea | Sono stati Pubblicati il Regolamento europeo per la protezione dei dati personali e la Direttiva per i settori di prevenzione, contrasto e repressione dei crimini.

 
 
Condividi la notizia

15 maggio 2015
Garante | Un Vademecum ad hoc per il corretto trattamento dei dati personali da parte di soggetti pubblici e privati.

 
 
Condividi la notizia

18 giugno 2014
9 luglio 2014 | Seminario di formazione promosso dal Garante privacy su protezione dei dati e trasparenza amministrativa.

 
 
Condividi la notizia

23 giugno 2015
Authority | Il Presidente dell'AGCM Giovanni Pitruzzella e quello per la protezione dei dati personali Antonello Soro hanno illustrato le attività del 2014.

 
 
Condividi la notizia

9 ottobre 2014
Sentenze civili sul sito della Cassazione | Il Presidente dell'Autorita' Garante Antonello Soro ha scritto al Primo Presidente della Corte Suprema di Cassazione esprimendo preoccupazione

 
 
Condividi la notizia

5 agosto 2015
Privacy | Nella Gazzetta Ufficiale n. 179 del 4 agosto 2015 è stato pubblicato il Provvedimento n. 3 del 2 luglio 2015.

 
 
Condividi la notizia

29 settembre 2015
Diritto alla riservatezza | Sono numerosi i casi per i quali l'Autorità è dovuta intervenire a tutela degli interessati facendo oscurare le pagine web istituzionali.

 
 
Condividi la notizia

29 agosto 2015
Diritto alla riservatezza | Lo ha chiarito il Garante Privacy rispondendo ai quesiti posti da due Regioni alle quali erano state richieste informazioni contenute nel sistema informatico regionale.

 
 
Condividi la notizia

10 maggio 2018
GARANTE PRIVACY | Tutti gli adempimenti necessari sono applicabili dal 25 maggio 2018 in ogni Stato Europeo, nell'articolo tutti i dettagli.

 
 
Condividi la notizia

16 luglio 2014
Garante privacy | Condomino moroso riceve il sollecito del condominio sul posto di lavoro anziché presso la propria abitazione. Garante, trattamento illecito dati personali.

 
 
Condividi la notizia

7 giugno 2014
Report di Vodafone | La relazione del colosso delle Telecomunicazioni sulla situazione delle norme a tutela della privacy nei 29 Paesi in cui opera ha provocato la reazione del Presidente dell'Autorita'.

 
 
Condividi la notizia

10 ottobre 2014
Trattamento dei dati personali | Su segnalazione anonima che un dipendente fa attività di escort, l'Amministrazione apre un procedimento disciplinare e acquisisce on line le pubblicazioni dell'attività di prostituzione. Il Garante della Privacy arriva fino alla Suprema Corte.

 
 
Condividi la notizia

18 gennaio 2015
Garante privacy | Cosa sono i cookie? A cosa servono? Rappresentano dei potenziali rischi per la nostra privacy? Come possiamo tutelare i nostri dati personali quando navighiamo sul web?

 
 

Ascolta "La Pulce e il Prof"

 
Il diritto divulgato nella maniera più semplice possibile
 
 

Comunicato Importante Selezione Docenti Accademia della P.A.

La Fondazione Gazzetta Amministrativa della Repubblica Italiana, in vista dell’apertura delle sedi dell’Accademia della PA in tutto il territorio nazionale, ricerca e seleziona personale per singole docenze in specifiche materie delle Autonomie locali da svolgersi presso le Accademie della PA e per le attività di assistenza nelle procedure complesse nei Centri di Competenza.

Leggi il comunicato completo

 
 
 
 
 
 
Prof. Enrico Michetti
Enrico Michetti
 
 

Newsletter Quotidiano della P.A.

Copertina Gazzette
 
Registrati alla newsletter GRATUITA settimanale del Quotidiano della P.A. per essere sempre aggiornato sulle ultime novità.
 
 
 
 Tweet dalla P.A.
 

Incorpora le Notizie del QPA

QPA Desk

Inserisci sul sito del tuo Ente, sul tuo sito o sul tuo blog, le ultime notizie pubblicate dal Quotidiano della P.A.

Accedi all'interfaccia per l'inserimento cliccando sul pulsante di seguito:

 
 
Chiudi Messaggio
Questo sito utilizza i cookie per assicurarti la migliore esperienza di navigazione. Per saperne di più accedi alla Informativa sulla Privacy. Procedendo nella navigazione, acconsenti all'uso dei cookie.