Che cosa si intende per Data Breach?

Il data Breach è una violazione della sicurezza dei dati che comporta (accidentalmente o in modo illecito), la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati dei dati personali trasmessi, conservati o comunque trattati.

In questo caso il Titolare del trattamento deve notificare la violazione all’autorità di controllo competente (il Garante) entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. 

La segnalazione deve riportare la natura della violazione, le circostanze ad essa relative, le sue probabili conseguenze e i provvedimenti adottati (o che si intendono adottare) per porvi rimedio e attenuare i possibili effetti negativi.

Se la violazione dei dati personali può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica, salvo eccezioni, la violazione all'interessato senza ingiustificato ritardo.

La notifica al Garante deve  specificare, dove possibile, le categorie ed il numero approssimativo dei dati personali violati e degli interessati coinvolti, deve poi contenere il nome ed i dati di contatto del responsabile della protezione dei dati ed, in ultimo, descrivere le probabili conseguenze della violazione e le misure adottate, o di cui si propone l’adozione, al fine di porre rimedio alla violazione o di attenuarne i possibili effetti negativi.

Il Titolare può evitare di segnalare la violazione all’interessato nei soli casi in cui:

*   abbia messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure fossero state applicate ai dati personali      oggetto della violazione;

*    abbia successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato;

*    se  la comunicazione richiedesse sforzi sproporzionati.