Particolare rilevanza all’interno della consulenza privacy ricoprono tutte le azioni volte a garantire la sicurezza per evitare violazioni dati personali.

L’adeguamento al Regolamento UE 2016/679 – GDPR si pone l’obiettivo di proteggere i dati personali delle persone fisiche e preservare la disponibilità, l’integrità e la riservatezza dei dati personali evitando violazioni (data breach).

Le misure di sicurezza adottate dal Titolare del trattamento devono essere adeguate ai rischi presenti, garantendo la riservatezza, integrità e disponibilità dei dati. 

Sicurezza dati personali

Le misure di sicurezza adottate devono garantire che: 

  • i dati siano trattati solo dalle persone autorizzate ed esclusivamente per le finalità consentite (riservatezza);
  • i dati non subiscano modifiche o cancellazioni volontarie o involontarie (integrità);
  • i dati rimangano accessibili e utilizzabili, cioè, in caso di perdita, modifica o distruzione accidentale, si deve essere in grado di recuperarli e ripristinarne l’accesso e la disponibilità (disponibilità).
violazione dati personali

violazione dati personali

Violazioni dati personali nel 2019

Solamente nel 2019 sono pervenute all’Autorità Garante per la Protezione dei Dati Personali ben 1443 notifiche di violazione dei dati personali (fonte “Relazione annuale 2019 del Garante per la Protezione dei dati personali).

Le tipologie di violazioni più frequenti sono state:

  • attacchi informatici volti all’acquisizione di dati personali (ad esempio: credenziali di autenticazione -nome utente e password- per accesso a siti web o servizi, dati anagrafici, dati di contatto -numeri di telefono, indirizzi e-mail, indirizzi di domicilio/residenza-, dati relativi a strumenti di pagamento -carte di credito-). Per approfondire ti consigliamo la lettura del nostro articolo su cibersecurity sicurezza dati online;
  • accesso non autorizzato a caselle di posta elettronica ordinaria e certificata;
  • perdita o indisponibilità di dati personali causati da malware (malicious software o software dannoso) di tipo ransomware (tipo di malware che rende inaccessibili i dati presenti in un dispositivo elettronico – ad esempio personal computer – infettandolo e chiedendo il pagamento di un riscatto per ripristinarne la disponibilità);
  • smarrimento o furto di dispositivi digitali o documenti cartacei contenti dati personali (questa violazione espone la vittima al rischio di furto d’identità);
  • comunicazione o diffusione accidentale di dati personali (ad esempio inviando, anche accidentalmente, una e-mail a un destinatario diverso inserendo in modo errato l’indirizzo di posta elettronica).

Cosa succede dopo una violazione dei dati personali

L’attività prioritaria dell’Autorità a seguito della notifica di una violazione dei dati personali ha avuto gli obiettivi di:

  • valutare le misure che Titolare del Trattamento ha adottato per porre rimedio alla violazione dei dati personali e per attenuare i possibili effetti negativi per gli interessati;
  • valutare la necessità di comunicare l’avvenuta violazione agli interessati -in caso di rischi elevati per i diritti e le libertà delle persone fisiche- e le possibili misure da adottare per proteggersi da conseguenze negative.

I Titolari del trattamento coinvolti in violazioni di dati personali sono stati rappresentati nel 73% dei casi da soggetti privati mentre nel 27% dei casi da soggetti pubblici.

Attraverso l’acquisizione documentale e specifica attività ispettiva, l’Autorità ha valutato i rischi per i diritti e le libertà delle persone fisiche derivanti dalle violazioni oggetto di notifica.

Nel caso in cui l’ispezione conseguente alla violazione ha evidenziato delle carenze tecniche e organizzative, nonché la messa in atto di misure di sicurezza inadeguate che hanno portato alla violazione di dati personali, sono stati emanati provvedimenti collegiali di tipo prescrittivo e, nei casi più gravi, sanzioni.

sanzioni violazione dati personali

Sanzioni per violazione dei dati personali

In materia di sanzioni il Regolamento ragiona in milioni di euro.  Si distinguono:

  • violazioni che hanno una sanzione massima di 10 milioni di euro o il 2% del fatturato mondiale annuo;
  • violazioni punite nel massimo con una multa di 20 milioni di euro o il 4% del fatturato mondiale annuo.

Le sanzioni applicate sono valutate di volta in volta in base alla violazione specifica, sono commisurate e proporzionate alla violazione e hanno carattere dissuasivo. Tendono cioè a scoraggiare la reiterazione della stessa condotta.

Inoltre, chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno. Il titolare del trattamento o il responsabile del trattamento sono esonerati dalla responsabilità solo se dimostrano che l’evento dannoso non gli è in alcun modo imputabile, cioè se hanno attuato tutte le misure di protezione tecniche e organizzative per proteggere i dati personali degli interessati.

Una consulenza privacy per un corretto adeguamento al Regolamento UE 2016/679 – GDPR riduce il rischio di violazioni di dati personali evitando l’applicazione di sanzioni e, soprattutto, permette una reale tutela e protezione dei dati personali degli interessati.

 
Informati Ora per il Corso su Privacy & GDPR