Esempi sulla notifica di un Data Breach - Infografiche sui casi da 1 a 5 delle Linee Guida 1/2021, EDPB
Regole generali
Prendendo le mosse dalla definizione di Data Breach contenuta all'art. 4(12) GDPR, si definisce “Personal Data Breach” la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione di dati personali può riguardare tanto la confidenzialità, l’integrità o la disponibilità, quanto una combinazione di queste.
In caso di violazione, il titolare del trattamento è tenuto alla notifica all‘Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza - a meno che sia improbabile che la violazione dei dati personali possa presentare un rischio per i diritti e le libertà delle persone fisiche. Nei casi di alto rischio il titolare è tenuto inoltre a darne comunicazione agli interessati, con i mezzi più idonei, e indicare le contromisure da adottare per mitigare gli effetti negativi della violazione. Quando si valuta il rischio di una violazione occorre considerare la probabilità che si verifichi l’evento e la gravità delle conseguenze (Cons. 75 e 76 GDPR).
Unitamente alla notifica, il Titolare comunica all'Autorità Garante:
- La natura della violazione (comprese, ove possibili, le categorie e il numero approssimativo degli interessati);
- Contatti del DPO o di altro soggetto a cui è possibile chiedere informazioni più precise in merito alla violazione;
- Descrizione delle probabili conseguenze della violazione;
- Descrizione delle misure adottate o di quelle da adottare per far fronte alla violazione.
Esempi di Casi Particolari
Di seguito alcune infografiche inerenti a esempi di Data Breach proposti dall'EDPB all'interno delle lineeguida 1/2021, consultabili al link:
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_en
Avv. Monica Gobbato
Giacomo De Simio