Cos’è una violazione dei dati e cosa dobbiamo fare in caso di violazione dei dati?
Risposta
Una violazione dei dati si verifica quando i dati di cui la vostra azienda/organizzazione è responsabile subiscono un incidente di sicurezza che comporta una violazione della riservatezza, disponibilità o integrità. Se ciò si verifica, ed è probabile che la violazione comporti un rischio per i diritti e le libertà di un individuo, la vostra azienda/organizzazione deve notificare l’autorità di vigilanza senza indebito ritardo, e al più tardi entro 72 ore dopo essere venuta a conoscenza della violazione. Se la vostra azienda/organizzazione è un elaboratore di dati, deve notificare ogni violazione dei dati al responsabile del trattamento.
Se la violazione dei dati comporta un rischio elevato per gli individui interessati, allora devono essere informati tutti, a meno che non siano state messe in atto efficaci misure di protezione tecniche e organizzative, o altre misure che garantiscano che il rischio non sia più probabile.
Come organizzazione è fondamentale implementare misure tecniche e organizzative appropriate per evitare possibili violazioni dei dati.
Esempi
L’organizzazione deve informare la DPA e gli individui
I dati dei dipendenti di un’azienda tessile sono stati divulgati. I dati comprendevano gli indirizzi personali, la composizione della famiglia, il salario mensile e le richieste mediche di ogni dipendente. In questo caso, l’azienda tessile deve informare l’autorità di vigilanza della violazione. Poiché i dati personali includono dati sensibili, come quelli sulla salute, l’azienda deve informare anche i dipendenti.
Un dipendente dell’ospedale decide di copiare i dati dei pazienti su un CD e li pubblica online. L’ospedale lo scopre qualche giorno dopo. Non appena l’ospedale lo scopre, ha 72 ore di tempo per informare l’autorità di vigilanza e, poiché i dati personali contengono informazioni sensibili, come ad esempio se un paziente ha il cancro, è incinta, ecc, deve informare anche i pazienti. In questo caso, ci sarebbero dubbi sul fatto che l’ospedale abbia implementato misure di protezione tecniche e organizzative adeguate. Se avesse effettivamente attuato misure di protezione adeguate (per esempio la cifratura dei dati), un rischio materiale sarebbe improbabile e potrebbe essere esonerato dall’informare i pazienti.
L’azienda deve informare i clienti e questi potrebbero poi dover informare la DPA e le persone
Un servizio cloud perde diversi hard disk contenenti dati personali appartenenti a diversi suoi clienti. Deve informare questi clienti non appena viene a conoscenza della violazione. I suoi clienti devono notificare l’autorità di protezione dei dati e le persone a seconda dei dati che sono stati trattati dall’elaboratore di dati.