Risposta

Si verifica una violazione dei dati quando i dati di cui la tua azienda/organizzazione è responsabile subiscono un incidente di sicurezza con conseguente violazione della riservatezza, della disponibilità o dell’integrità. Se ciò si verifica ed è probabile che la violazione costituisca un rischio per i diritti e le libertà di una persona, la tua azienda/organizzazione deve informare l’autorità di vigilanza senza indebito ritardo e al più tardi entro 72 ore dopo aver preso conoscenza della violazione. Se la tua azienda/organizzazione è responsabile del trattamento è necessario notificare ogni violazione di dati al titolare del trattamento.

Se la violazione dei dati comporta un rischio elevato per le persone interessate, devono essere tutte informate, a meno che non siano state adottate misure efficaci di protezione tecnica e organizzativa o altre misure che garantiscano che il rischio non si verifichi più.

Come organizzazione, è fondamentale attuare misure tecniche e organizzative adeguate per evitare possibili violazioni dei dati.

Esempi

L’organizzazione deve informare l’autorità di protezione dei dati e le persone
I dati dei dipendenti di un’azienda tessile sono stati divulgati. I dati includevano gli indirizzi personali, la composizione della famiglia, lo stipendio mensile e le spese mediche di ciascun dipendente. In questo caso, l’azienda tessile deve informare della violazione l’autorità di vigilanza. Poiché i dati personali includono dati sensibili, come i dati relativi alla salute, l’azienda deve informare anche i dipendenti.

Un dipendente ospedaliero decide di copiare i dati dei pazienti su un CD e li pubblica online. L’ospedale lo scopre qualche giorno dopo. Non appena l’ospedale lo scopre, ha 72 ore di tempo per informare l’autorità di vigilanza e, poiché i dati personali contengono informazioni sensibili (se un determinato paziente ha il cancro, se una paziente è incinta ecc.), deve informare anche i pazienti. In questo caso, è dubbio che l’ospedale abbia messo in atto misure di protezione tecniche e organizzative adeguate. Se le avesse messe in atto (ad esempio, criptando i dati), il rischio sarebbe stato improbabile e avrebbe potuto essere esentato dall’obbligo di informare i pazienti.

L’azienda deve informare i clienti e questi possono quindi dover informare l’autorità di protezione dei dati e le persone interessate
Un servizio cloud perde diversi hard disk contenenti dati personali di molti dei suoi clienti. Deve informarli non appena viene a conoscenza della violazione. I suoi clienti devono informare l’autorità di protezione dei dati e le persone a seconda dei dati trattati dal responsabile del trattamento.

Riferimenti