Data breach: gli adempimenti e l’infografica del Garante privacy

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Dal suo portale,  è l’Autorità garante per la Privacy a lanciare l’allarme ed ad illustrare obblighi, precauzioni e rimedi. Anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative. La direttiva 2009/136/CE (che ha modificato, in parte, la direttiva 2002/58/CE) infatti ammoniche che del rischio che un evento avverso, che può coinvolgere i dati personali, se non trattato in modo adeguato e tempestivo, può provocare un grave danno economico e sociale alle persone cui fanno riferimento i suddetti dati. La situazione di pregiudizio che possa derivare dalla perdita, distruzione o diffusione indebita dei dati può culminare, nelle ipotesi più gravi, nel furto o l’usurpazione di identità, determinando potenzialmente un danno fisico, umiliazione grave, danno alla reputazione. Il decreto legislativo del 28 maggio 2012, n.69, ha introdotto nel nostro ordinamento gli obblighi della disciplina comunitaria. In particolare, viene stabilita all’art. 4, comma 3, lett. g-bis) del decreto legislativo 30 giugno 2003, n. 196 (il “Codice”), la definizione di ‘violazione di dati personali qualificata come: “violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico”. I casi e gli adempimenti previsti dai provvedimenti del Garante [doc. web nn. 2388260, 3556992, 4084632 e 4129029] e sono riassunti in una infografica che offre un prospetto sintetico sulla materia.     25 maggio 2016