1. Home
  2. Informativa sulla Privacy
  3. Data breach - Le violazioni di dati personali

Data breach - Le violazioni di dati personali

Pubblicato: 04 Ottobre 2022
Ultimo aggiornamento: 04 Ottobre 2022

La violazione dei dati personali si manifesta quando avviene un evento critico di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali conservati, trasmessi o comunque trattati dal Responsabile del trattamento per conto del Titolare, o dal Titolare medesimo.

Il GDPR stabilisce che il Titolare effettua le comunicazioni all'Autorità di controllo sulla violazione di dati personali (art.33) ed informa l'interessato se si presenta il rischio per i diritti e le libertà di quest'ultimo (art.34).

Il modello da utilizzarsi è quello messo a disposizione dal Garante.

L'interessato, cioè il soggetto a cui si riferiscono i dati oggetto di violazione, va informato senza ingiustificato ritardo.

Il Gruppo articolo 29, istituito dall'Unione Europea, ha individuato tre categorie di eventi rilevanti ai sensi degli artt. 33 e 34 del Regolamento:

  • quando vi è un accesso incidentale o abusivo a dati personali;
  • quando vi è una perdita o distruzione accidentale o non autorizzata del dato personale;
  • quando vi è un'alterazione accidentale o non autorizzata del dato personale.

Si riportano nel seguito alcuni esempi di violazioni di dati:

  • un attacco informatico ad uno o più sistemi informativi, anche se gestiti da società esterne all'amministrazione;
  • la distruzione o perdita di dati anche su supporto cartaceo per cause differenti da un attacco informatico o da problemi tecnici;
  • un'interruzione del servizio di un sistema di gestione dati dell'Amministrazione causato ad esempio da una interruzione di energia elettrica, che rende i dati personali non più disponibili;
  • la impossibilità di accedere a dati crittografati qualora sia andata persa la chiave di decrittografia;
  • il furto o smarrimento di un computer portatile, di un cellulare di servizio non opportunamente cifrato;
  • lo smarrimento di una chiavetta USB, un CD ecc che contiene dati personali di dipendenti o cittadini;
  • attacco malware che comporta la crittografia dei dati personali (e non anche furto di dati), in assenza di copie di backup dalle quali effettuare il ripristino.

Procedura da seguire per le violazioni di  dati personali

Allegati