L’European Data Protection Board (“EDPB”) ha pubblicato, in consultazione, le linee guida 01/2021 sugli esempi relativi alla notifica di violazione dei dati (“data breach”).

L’European Data Protection Board (“EDPB”) ha pubblicato, in consultazione, le linee guida 01/2021 sugli esempi relativi alla notifica di violazione dei dati (“data breach”). I contributi a tali linee guida dovranno pervenire entro il 2 marzo e nel frattempo possiamo analizzare nel dettaglio quanto sviluppato, al riguardo, dall’EDPB.

Si tratta di un documento molto interessante sia per gli esperti privacy ma anche per gli operatori della Cybersecurity.

Con tali linee guida, l’EDPB ha inteso integrare le linee guida WP250 emanate dal WPG 29 e attualizzarle ai casi pratici oltre che all’intervenuta applicazione quotidiana del GDPR, con lo scopo di fornire utili elementi per la gestione delle violazioni dei dati e quali fattori considerare durante la valutazione del rischio.

Il primo elemento da valutare nell’ambito di qualsiasi di violazione è la possibilità di riconoscerla, per come definito all’art. 4, paragrafo 12 del GDPR.

Nel parere 03/2014 (G29 WP213, del 25 marzo 2014) sulla notifica di violazione e nelle citate linee guida WP 250, il WP29 ha chiarito che le violazioni possono essere classificate in base ai tre principi sulla sicurezza delle informazioni:

• “Violazione della riservatezza” – in caso di divulgazione non autorizzata o accidentale o accesso ai dati personali.
• “Violazione dell’integrità” – in caso di alterazione non autorizzata o accidentale dei dati personali.
• “Violazione della disponibilità” – in caso di perdita accidentale o non autorizzata dell’accesso o la distruzione dei dati personali (pag. 7 linee guida WP250).

Ciascuna violazione, potenzialmente, può avere una serie di effetti negativi significativi, specialmente sugli individui, che possono provocare danni fisici, materiali o immateriali; ciò può significare la perdita di controllo sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto di identità, la frode, perdite finanziarie, l’inibizione non autorizzate della pseudonimizzazione, il danno alla reputazione e la perdita di riservatezza dei dati personali (anche protetti dal segreto professionale) e può anche includere qualsiasi altro significativo svantaggio economico o sociale.

Uno degli obblighi più importanti del titolare del trattamento è valutare questi rischi per i diritti e le libertà degli interessati e attuare adeguate misure tecniche e organizzative per affrontarle.

Il GDPR, ai sensi dell’art. 33, richiede al titolare del trattamento di:

• documentare eventuali violazioni dei dati personali, i suoi effetti e le azioni correttive intraprese;
• notificare la violazione dei dati personali all’autorità di controllo, a meno che sia improbabile che comporti un rischio per i diritti e le libertà delle persone fisiche;…

Leggi l’articolo completo.