Cosa è il data breach?

Il Data Breach, consiste in una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il titolare del trattamento deve informare l’autorità di controllo entro 72 ore dal momento in cui viene a conoscenza di una violazione dei dati personali (data breach). Se il trattamento è effettuato da un responsabile per conto del titolare, il responsabile dovrà darne comunicazione a quest’ultimo immediatamente dopo esserne venuto conoscenza.

Anche gli utenti devono essere informati della violazione a meno che i dati violati non siano stati protetti mediante cifratura o, in generale, a meno che sia improbabile che la violazione comporti un rischio elevato per i diritti e le libertà degli interessati. In ogni caso, il titolare del trattamento deve tenere un registro delle violazioni verificatesi per poter dimostrare alle autorità il rispetto di tali disposizioni.

Chi è l’RPD e il DPO?

Il Responsabile per la Protezione dei Dati (RPD), o Data Protection Officer (DPO), è un soggetto con una conoscenza approfondita della legislazione in materia di protezione dei dati, il cui ruolo comprende l’assistenza al titolare del trattamento o al responsabile del trattamento per il controllo della conformità interna al GDPR, e per la supervisione e l’attuazione della strategia di protezione dei dati.

Il DPO dovrebbe inoltre essere competente nella gestione dei processi informatici, nella sicurezza dei dati e in altre questioni critiche relative al trattamento di dati personali e sensibili.

Quando è obbligatorio nominare il Data Protection Officer?

La nomina del DPO è obbligatoria nei seguenti casi:

  • quando il trattamento è effettuato da autorità o organismo pubblico;
  • quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala”;
  • quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.

La nomina di un DPO non si basa pertanto sul numero dei dipendenti, ma sulla natura dell’attività di trattamento dei dati.

Pertanto qualsiasi organizzazione che non rientra nelle suindicate categorie, non dovrà nominare obbligatoriamente il data protection officer.

Il registro del trattamento

Il GDPR obbliga sia i titolari che i responsabili del trattamento a tenere e mantenere aggiornato un registro “completo e esaustivo” delle particolari attività di trattamento dati che stanno svolgendo.

Il registro è espressamente richiesto quando le attività di trattamento dati:

  • non sono occasionali;
  • possono comportare un rischio elevato per i diritti e le libertà degli interessati;
  • includono il trattamento di dati sensibili o di “categorie speciali di dati”;
  • sono effettuate da un’organizzazione con più di 250 dipendenti.

Il Registro del Trattamento deve essere tenuto per iscritto. È possibile tenere il registro sia in formato cartaceo che elettronico: tuttavia, il formato elettronico è considerato una best practice in quanto ne agevola l’aggiornamento.

Da chi è tenuto il registro del trattamento dei dati personali?

Il registro tenuto dal titolare del trattamento deve includere:

  • il nome e le informazioni di contatto del titolare del trattamento e, se designati, dei responsabili del trattamento e del DPO;
    • le finalità del trattamento;una descrizione delle diverse tipologie di utenti e di dati trattati;le categorie dei soggetti terzi che accedono ai dati, specificando l’eventuale Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti (in caso di trasferimento di dati verso un Paese extra UE);l’eventuale trasferimento di dati personali verso un Paese extra UE, identificando il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, inclusa una documentazione relativa alle misure di sicurezza adottate (se applicabile);i termini previsti per la cancellazione delle varie categorie di dati (ove possibile);
    • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (ove possibile).