L'articolo 4 p.12 del GPDR definisce la "violazione dei dati personali" come una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.

L'art. 33 del GDPR prevede che "in caso di violazione dei dati personali, il Titolare del trattamento notifica la violazione all'Autorità di controllo competente a norma dell'art. 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo".

Le violazioni possono essere classificate in tre macro categorie che, a seconda dei casi, possono riguardare contemporaneamente la riservatezza, l'integrità e la disponibilità dei dati personali (anche in combinazione):

• "violazione della riservatezza" in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
• "violazione dell'integrità del dato" in caso di modifica non autorizzata o accidentale dei dati personali;
• "violazione della disponibilità del dato", in caso di perdita o distruzione accidentali o non autorizzati di dati persona.

A seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l'integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse. A seconda delle circostanze in cui si verifica, la violazione può richiedere o meno la notifica all'Autorità di controllo e la comunicazione alle persone fisiche coinvolte.

Il titolare del trattamento, riscontrata una violazione, dovrà pertanto di volta in volta valutare la probabilità e la gravità del conseguente impatto sui diritti e sulle libertà delle persone fisiche e:

• documentare la violazione nel proprio Registro delle violazioni (sempre);
• effettuare la notifica al Garante (a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le liberta` delle persone fisiche);
• comunicare la violazione ai soggetti interessati (laddove possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte.

La rilevazione/segnalazione di un data breach può essere di fonte interna o esterna all'Ente.

POSSONO ESSERE FONTI INTERNE:

notizie ricevute da parte del personale dipendente; da parte del personale convenzionato/stagisti/tirocinanti; dall'Amministratore di Sistema (ove presente); dalle figure preposte alla manutenzione degli impianti informatici o alla gestione degli archivi; dagli utenti dei servizi.

SONO FONTI ESTERNE: notizie ricevute da parte delle forze dell'ordine; da parte dei responsabili del trattamento; da parte del DPO; da parte degli interessati; da parte di terzi.

La segnalazione, qualunque sia la forma, deve essere immediatamente messa a conoscenza del legale rappresentante dell'Ente, della Direzione, dell'amministratore di sistema (soggetti che compongono il "gruppo di gestione del data breach aziendale") attraverso canali di posta elettronica (info@apspstoro.it - rsastoro@pec.it) e avvertimento verbale/telefonico.