Trattamento dei dati personali: cosa prevede la legge in caso di violazione?

953
Trattamento dei dati personali
Trattamento dei dati personali

Il tema del trattamento dei dati personali è divenuto particolarmente rilevante negli ultimi anni, dal momento che è stata giustamente posta una maggiore attenzione a questa tematica.

A tal riguardo, nel 2016 l’Unione Europea ha pubblicato nella Gazzetta Ufficiale comunitaria il cosiddetto GDPR, acronimo di General Data Protection Regulation, entrato poi in vigore nel 2018.

Il GDPR è un Regolamento, dunque in quanto tale è da applicarsi direttamente nei Paesi membri, e prevede una serie di responsabilità a carico di chi tratta, nelle modalità più disparate, dei dati personali.

Ma che cosa accade se i dati vengono violati? Lo stesso GDPR specifica quali sono le procedure da seguire in situazioni come queste.

Come deve comportarsi il titolare del trattamento in caso di violazione dei dati personali

In caso di Data Breach, così viene definita, appunto, la violazione dei dati personali, il titolare del trattamento è chiamato anzitutto a notificare l’episodio al Garante per la protezione dei dati personali, ovvero l’autorità indipendente operante a carattere nazionale.

Sul sito Internet istituzionale del Garante è stato predisposto un apposito form che i titolari di trattamento possono compilare per effettuare la procedura di notifica del Data Breach in maniera completamente telematica.

La notifica al Garante deve essere effettuata in modo tempestivo: il GDPR dispone che essa si debba eseguire “senza ingiustificato ritardo”, o comunque entro 72 ore dal momento in cui si è venuti a conoscenza della violazione; se la comunicazione all’autorità avviene con maggior ritardo rispetto a tale lasso temporale, il titolare del trattamento è tenuto a specificare quali sono state le ragioni del ritardo.

Se la violazione costituisce un rischio rilevante per gli interessati, ovvero per i soggetti i cui dati personali sono stati violati, il titolare del trattamento è chiamato anche a comunicare ai medesimi quanto avvenuto nelle modalità più opportune, ammenochè non abbia già intrapreso delle azioni tali da rendere certamente innocua la violazione.

È utile sottolineare che una violazione di dati personali è da considerarsi tale in tutti i casi, a prescindere da quali siano i danni che ne possono derivare per gli interessati: si spazia infatti problematiche connesse all’effettuazione di frodi fino al più semplice danno reputazionale.

Cosa rischia il titolare del trattamento in caso di “Data Breach”

Cosa rischia il titolare del trattamento di dati personali che, pur gestendoli in modo legale e trasparente, è vittima di una violazione da parte di terzi?

In questi casi, il Garante valuta le misure che il titolare ha rispettato per evitare che tale situazione potesse verificarsi, e anche eventuali contromisure adottate per tempo.

Il rischio, ad ogni modo, è di sanzioni economiche molto pesanti: secondo quanto stabilito dal GDPR, infatti, le sanzioni possono ammontare fino a 10 milioni di euro oppure, nel caso di imprese, fino al 2% del fatturato annuo totale mondiale.

Sulla base di quanto visto, risulta evidente come il trattamento di dati personali debba essere effettuato sempre all’insegna della sicurezza, prendendo tutte le dovute contromisure e utilizzando risorse informatiche che sappiano rivelarsi affidabili dinanzi al rischio di attacchi telematici, come possono senz’altro essere gli speciali cloud server proposti da flamenetworks.com.

Essere rigorosi nella gestione dei dati personali è assolutamente indispensabile, a prescindere dal fatto che il trattamento avvenga ad opera di una grande multinazionale o di un’impresa molto piccola.