Il Regolamento n. 679/2016, rispettivamente agli articoli 33 e 34, stabilisce che quando si verifica una violazione di dati personali (data breach), tale violazione deve essere notificata all’Autorità garante competente entro 72 ore da quando il titolare del trattamento ne viene a conoscenza e, in alcuni casi, deve essere comunicata anche agli interessati.
Quando si parla di violazione di dati personali, secondo la definizione contenuta all’art. 4 (12) del Regolamento n. 679, lo ricordiamo, ci si riferisce alla violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
In merito alla notifica di data breach, il Gruppo Art.29, che con l’entrata in vigore del Regolamento n. 679/2016 è stato sostituito dallo EDPB, ha pubblicato delle linee guida [Guidelines on Personal data breach notification under Regulation 2016/679, WP 250] nell’ottobre 2017, in cui, in linea generale, è stato meglio precisato il concetto di data breach. Nelle linee guida WP250, come anche nel parere n. 3/2014, l’ormai ex Gruppo Art29 suddivideva la violazione sui dati personali in tre macrocategorie che prendono in considerazione la violazione di tre principi di sicurezza:
- Violazione della riservatezza: quando si verifica una diffusione o l’accesso non autorizzato a dati personali intenzionalmente o accidentalmente;
- Violazione dell’integrità: quando si verifica l’alterazione accidentale o non autorizzata di dati personali;
- Violazione della disponibilità: quando si verifica accidentalmente o in maniera non autorizzata l’impossibilità di accedere o la distruzione di dati personali.
Una violazione può avere diversi impatti sulle persone cui i dati si riferiscono (gli interessati), impatti che possono avere natura di danni fisici, materiali o immateriali, come la ...