Il Regolamento n. 679/2016, sulla base del principio dell’accountability o responsabilizzazione, impone ad ogni titolare del trattamento (ma anche ai responsabili del trattamento) di prevenire le violazioni sui dati personali adottando misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato e proporzionato al rischio connesso al trattamento svolto. Le misure da adottare devono tener conto del proprio contesto organizzativo, dei costi da sostenere, del tipo di trattamento che viene effettuato e di quanto un rischio di violazione sui dati trattati possa incidere negativamente sui diritti e le libertà delle persone.
Il Regolamento stabilisce inoltre che se una violazione sui dati personali dovesse comunque verificarsi, il titolare del trattamento è chiamato a comunicarla entro 72 ore da quando ne viene a conoscenza all’Autorità Garante della privacy (art. 33 GDPR) e, nel caso in cui tale violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche la violazione va comunicata anche all’interessato (art. 34 GDPR). Inoltre, il GDPR richiede di implementare una tutela tecnologica e organizzativa adeguata, mettendo in atto misure in grado di stabilire tempestivamente se una violazione si sia verificata, in modo da adempiere correttamente all’obbligo di notifica.
Ma in cosa consiste nel concreto una violazione di dati personali o data breach?
Il GDPR parla di violazione sui dati personali facendo riferimento a violazioni di sicurezza che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione di questo tipo, dice il regolamento, può, se non affrontata in modo adeguato e tempestivo, incidere negativamente sulle persone, provocando danni fisici, materiali o immateriali. Così, ad esempio, la perdita del controllo dei dati personali può comportare una limitazione di diritti, ...