La violazione dei dati personali (data breach) è una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di quei stessi dati.
Se il data breach non è affrontato in modo adeguato e tempestivo può provocare anche danni materiali o immateriali alle persone fisiche.
In quest’ottica il Regolamento UE 2016/679 agli artt. 32 e seguenti mette in evidenza le procedure da adottarsi in tema di sicurezza del trattamento e le eventuali attività da svolgersi a seguito di una violazione degli stessi dati.
L’elemento di novità del GDPR è, di fatto, l’estensione della disciplina del data breach a tutti i titolari di trattamento indipendentemente dalla tipologia di attività svolta, immettendo nella previsione delle violazioni anche l’inosservanza di norme sulla sicurezza da parte del titolare del trattamento.
Risulta pertanto rilevante essere a conoscenza di questi risvolti e sapere:
- come organizzare un “Data Breach and Incident Response Plans”,
- gestire una violazione dei dati e mettere in atto le misure di mitigazione idonee per ridurre il rischio e le conseguenze del breach a cui i dati personali sono stati esposti.
Infatti, il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (artt. 23-25, in particolare, e l’intero Capo IV del regolamento).
Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.