Governo italiano
Regione Abruzzo
Giunta regionale
Seguici su
Cerca

Data breach - Le violazioni di dati personali

Tutela dei dati in caso di accessi non autorizzati o perdita

Parliamo di
Privacy

La violazione dei dati personali si manifesta quando avviene un evento critico di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali conservati, trasmessi o comunque trattati dal Responsabile del trattamento per conto del Titolare, o dal Titolare medesimo.

Il GDPR stabilisce che il Titolare effettua le comunicazioni all'Autorità di controllo sulla violazione di dati personali (art.33) ed informa l'interessato se si presenta il rischio per i diritti e le libertà di quest'ultimo (art.34).

Il modello da utilizzarsi è quello messo a disposizione dal Garante.

L'interessato, cioè il soggetto a cui si riferiscono i dati oggetto di violazione, va informato senza ingiustificato ritardo.

Il Gruppo articolo 29, istituito dall'Unione Europea, ha individuato tre categorie di eventi rilevanti ai sensi degli artt. 33 e 34 del Regolamento:

  • quando vi è un accesso incidentale o abusivo a dati personali;
  • quando vi è una perdita o distruzione accidentale o non autorizzata del dato personale;
  • quando vi è un'alterazione accidentale o non autorizzata del dato personale.

Si riportano nel seguito alcuni esempi di violazioni di dati:

  • un attacco informatico ad uno o più sistemi informativi, anche se gestiti da società esterne all'amministrazione;
  • la distruzione o perdita di dati anche su supporto cartaceo per cause differenti da un attacco informatico o da problemi tecnici;
  • un'interruzione del servizio di un sistema di gestione dati dell'Amministrazione causato ad esempio da una interruzione di energia elettrica, che rende i dati personali non più disponibili;
  • la impossibilità di accedere a dati crittografati qualora sia andata persa la chiave di decrittografia;
  • il furto o smarrimento di un computer portatile, di un cellulare di servizio non opportunamente cifrato;
  • lo smarrimento di una chiavetta USB, un CD ecc che contiene dati personali di dipendenti o cittadini;
  • attacco malware che comporta la crittografia dei dati personali (e non anche furto di dati), in assenza di copie di backup dalle quali effettuare il ripristino.

Approfondimenti

Ultimo aggiornamento: 15 Novembre 2025