Violazione di dati personali – Data breach

In tutti i casi di violazione dei dati personali, con l’unica eccezione del caso in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento ha l’obbligo di notificare la violazione all’autorità di controllo senza ingiustificato ritardo e, comunque, se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.

Se la notifica la notifica all’autorità di controllo non viene effettuata entro 72 ore devono essere indicati i motivi del ritardo.

Nel caso in cui sia il responsabile del trattamento a venire a conoscenza della violazione, ha l’obbligo di informarne il titolare del trattamento senza ingiustificato ritardo.

Se la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche il titolare del trattamento, oltre all’obbligo di darne comunicazione al Garante, ha l’ulteriore obbligo di comunicazione agli interessati senza ingiustificato ritardo (art. 34 GDPR).

Esempi di possibili danni fisici, materiali o immateriali alle persone fisiche:

– perdita del controllo dei dati personali che le riguardano

– limitazione dei loro diritti

– discriminazione, furto o usurpazione d’identità

– perdite finanziarie

– perdita di riservatezza dei dati personali protetti da segreto professionale

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

 – il furto o la perdita di dispositivi informatici contenenti dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

Approfondimenti:

Data breach: contenuto minimo e modalità di notifica (link all’articolo)