skip to Main Content
ISLE OF MAN, INFORMATION COMMISSIONER BARRANTAGH FYSSEREE: Violazione Dei Dati Personali

ISLE OF MAN, INFORMATION COMMISSIONER BARRANTAGH FYSSEREE: Violazione dei dati personali

Una violazione dei dati personali è descritta come “una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione o accesso non autorizzati ai dati personali trasmessi, archiviati o altrimenti elaborati”.

In termini generali, una violazione dei dati personali è quindi un incidente di sicurezza che ha compromesso la riservatezza, l’integrità o la disponibilità dei dati personali e può comportare:

  • accesso da parte di terzi non autorizzati, incluso personale non autorizzato;
  • azione deliberata o accidentale (o inazione) da parte di un responsabile del trattamento o un responsabile del trattamento;
  • invio di dati personali a un destinatario errato;
  • dispositivi informatici contenenti dati personali smarriti o rubati;
  • alterazione dei dati personali senza autorizzazione; o
  • perdita di disponibilità dei dati personali.

In sintesi, quando qualsiasi dato personale viene perso, distrutto, corrotto o divulgato; se qualcuno accede ai dati o li trasmette senza adeguata autorizzazione; o se i dati non sono disponibili, ad esempio crittografati da ransomware, si è verificata una violazione dei dati personali.

L’effetto su un individuo

Alcune violazioni dei dati personali non comportano rischi oltre l’inconveniente, ma altre possono influire negativamente sulle persone i cui dati personali sono stati compromessi. Ciò può  includere angoscia emotiva e danni fisici e materiali.

Se non risolto, una violazione può causare danni significativi; ad esempio, un individuo può soffrire di furto di identità o frode, perdita finanziaria, danno alla reputazione o altri svantaggi economici o sociali significativi. Nel rispondere a una violazione dei dati personali, un responsabile del trattamento e un responsabile del trattamento deve, pertanto, considerare tutti i fattori rilevanti e valutare obiettivamente i rischi per un individuo.

I responsabili del trattamento avrebbero già dovuto effettuare una valutazione del rischio che il trattamento comporta per le persone e tenerne conto, nel determinare quale livello di sicurezza era appropriato per i dati personali in elaborazione. Tuttavia, di seguito è riportato un esempio di metodologia che può essere utilizzata per valutare la gravità del rischio per gli individui di violazioni dei dati personali.

Obblighi di base

I responsabili del trattamento sono tenuti a notificare al Commissario una violazione dei dati personali senza indebito ritardo e, ove possibile, entro 72 ore dalla presa di coscienza della violazione, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà di una persona .

Se è probabile che una violazione dei dati personali comporti un rischio elevato per i diritti e le libertà delle persone interessate, il responsabile del trattamento deve anche informare le persone interessate senza indebito ritardo.

Qualora un processore subisce una violazione dei dati personali, il processore deve notificare al controllore senza indebito ritardo.

Tali obblighi sono stabiliti negli articoli 33 e 34 e ulteriormente spiegati nei considerando da 85 a 88 del GDPR applicato.

Cosa può accadere se una violazione dei dati personali non viene notificata?

La mancata notifica di una violazione, quando richiesto, può comportare una sanzione fino a £ 1.000.000. Il commissario può anche combinare una sanzione con altri poteri correttivi ai sensi dell’articolo 58 del GDPR applicato.

I titolari del trattamento soggetti al controllo di un’autorità di protezione dei dati dell’UE possono essere soggetti a una sanzione fino a un massimo di 10 milioni di EUR o al 2% del fatturato globale.

È pertanto importante disporre di un solido processo di segnalazione delle violazioni.

 

FONTE: ISLE OF MAN –  INFORMATION COMMISSIONER BARRANTAGH FYSSEREE

Back To Top