AO_439

GIUGNO/LUGLIO 2022 AUTOMAZIONE OGGI 439 | 97 onostante molte aziende ab- biano intrapreso un percorso di regolarizzazione ai dettami del Gdpr e che, quindi, pongano in essere misure tecnico-organiz- zative finalizzate alla migliore protezione possibile dei dati per- sonali degli utenti, è comunque possibile che si imbattano in un ‘data breach’, presunto o effettivo. Un data breach consiste nella violazione, col- posa o dolosa, alla sicurezza dei dati personali di proprietà (o sotto la custodia) di un Tito- lare del trattamento, in grado di comportare la distruzione, perdita, modifica, divulgazione non autorizzata, oppure un accesso non au- torizzato ai dati personali trattati, appunto, dal Titolare del trattamento. Il data breach può assumere innumerevoli connotati. Si va dal furto o perdita dei dispositivi contenenti i dati personali forniti dal Titolare, al vero e proprio attacco informatico ai sistemi azien- dali tramite virus o spyware. Qualora il Responsabile, l’Incaricato o l’Am- ministratore di sistema abbiano conoscenza di una situazione che può concretamente comportare un data breach, è necessario che informino immediatamente il Titolare del trattamento dei dati, affinché quest’ultimo possa avviare la procedura di comunicazione di avvenuta o presunta violazione al Garante per la Protezione dei dati personali. In caso di data breach, infatti, il Titolare del tratta- mento deve, senza ingiustificato ritardo e non oltre le 72 ore dall’essere venuto a cono- scenza della violazione, comunicare e notifi- care detta violazione al Garante della Privacy tramite il sito Internet dell’Autorità, a meno che sia improbabile che la violazione dei dati comporti un rischio per i diritti e le libertà delle persone fisiche alle quali i dati si riferi- scono (Art.33 Gdpr). In particolare, la notifica inviata all’Autorità Garante deve contenere, ex Art.33 - paragrafo 3 del Gdpr, la descri- zione della natura della violazione dei dati personali, le categorie e il numero dei dati coinvolti, i contatti del DPO, un’indicazione delle conseguenze della violazione dei dati personali e le misure adottate dal Titolare del trattamento per porre rimedio alla violazione verificatasi, o per limitare eventuali effetti ne- gativi derivabili dalla violazione. Oltre alla notifica al Garante per la protezione dei dati personali il Titolare del trattamento, alla luce di un possibile data breach, dovrà valutare la concreta possibilità che la viola- zione comporti un elevato rischio per i diritti degli interessati. A seconda della valutazione del rischio che verrà effettuata, il Titolare dovrà comunicare a tutti i soggetti coinvolti dalla violazione l’avvenuto data breach, utilizzando i canali più idonei al raggiungi- mento dei soggetti interessati, a meno che non abbia già preso misure tali da ridurne l’impatto. Da tenere in considerazione per l’eventuale comunicazione a tutti i soggetti coinvolti dal data breach, la reale possibilità che questi ultimi possano subire effetti av- versi significativi, quali danni di natura fisica, economica, immateriale o morale, come per esempio la perdita del controllo sui propri dati personali, la limitazione o perdita di al- cuni diritti, discriminazioni, furto d’identità, rischio di frode, perdita della riservatezza dei dati personali protetti da segreto professio- nale (per esempio i dati sanitari), perdita a li- vello finanziario oppure danno di immagine. A seguito della notifica al Garante, infine, è possibile che lo stesso proceda alla verifica dellemisure di tutela applicate dal Titolare del trattamento dei dati, tra le quali la verifica del Registro dei trattamenti del Titolare e del Re- sponsabile, ovveroundocumento contenente le principali informazioni e operazioni di trat- tamento svolte sui dati personali detenuti dal Titolare e dal Responsabile del trattamento oltre, ovviamente, alla verifica del Registro del data breach, un documento contenente tutte le violazioni dei dati personali, più o meno gravi, segnalate o meno all’Autorità. I Registri consentono all’Autorità di effet- tuare verifiche sul rispetto della normativa vigente, la quale, a seguito della verifica della documentazione, può prescrivere ex Art.58 - paragrafo 2 del Gdpr, delle misure corret- tive qualora venga rilevata una violazione delle disposizioni del Regolamento, anche in relazione all’adeguatezza delle misure di sicurezza tecniche e organizzative adottate per la protezione dei dati oggetto della vio- lazione comunicata. Infine, come è possibile prevenire o quan- tomeno gestire in tempi ragionevoli un data breach? Sicuramente appare di fonda- mentale importanza per il Titolare del trat- tamento possedere all’interno della propria realtà un’organizzazione tale da permettergli di essere sempre a conoscenza delle misure di sicurezza tecniche adottate per la salva- guardia dei dati personali, nonché indub- biamente la puntuale tenuta del Registro dei trattamenti ecc. Solo in tal modo sarà possibile prevenire un data breach, o quan- tomeno gestirlo in modo tempestivo. N Data breach, riconoscerlo e prevenirlo Cristiano Cominotto ALP – Assistenza Legale Premium @cri625 AUTOMAZIONE OGGI AVVOCATO