Il tema del trattamento dei dati personali è regolato dal Regolamento generale sulla protezione dei dati GDPR (General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679, pubblicato il 27 aprile 2016 e promulgato il 25 maggio 2018.
I dati personali possono essere oggetto di trattamento, secondo le regole ed entro i limiti stabiliti dal Regolamento generale sulla protezione dei dati, il GDPR.
Dati personali: cosa sono?
Per prima cosa, è importante fare chiarezza su cosa si intende per dati personali.
Come stabilito dall’art. 4 del GDPR per dato personale si intende qualsiasi informazione riguardante una persona fisica, identificata o identificabile; con il termine identificabile si fa riferimento alla persona fisica, che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Trattamento dei dati personali
Come detto in precedenza, i dati personali possono, quindi, essere oggetto di trattamento secondo le regole ed entro i limiti stabiliti dal Regolamento generale sulla protezione dei dati, il GDPR.
Ma cosa si intende con il termine trattamento dei dati personali? Come stabilito dall’art. 4 del regolamento, con il termine trattamento s’intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Violazione dei dati personali
La violazione dei dati personali, definita dal regolamento europeo, come data breach comporta, in maniera accidentale o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. La violazione dei dati va notificata unicamente nel caso in cui possa avere effetti avversi significativi sugli individui, compromettendo la riservatezza, l’integrità o la disponibilità di dati personali.
Una volta scoperta la violazione dei dati, il titolare deve notificare l’evento all’autorità di controllo. La notifica deve avvenire “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza il titolare”. Qualora la notifica non avvenga nelle 72 ore stabilite, il titolare dovrà precisare anche i motivi del ritardo. La norma prevede anche la possibilità di allegare ulteriori informazioni in un momento successivo, per cui è preferibile comunque effettuare la notifica nelle 72 ore, anche se incompleta.
In base all’art. 33 del GDPR, il responsabile del trattamento, se designato, deve avvertire dell’avvenuta violazione il titolare, perché questi valuti la necessità della notifica. Contrattualmente titolare e responsabile possono pattuire che la notifica alle autorità spetti al responsabile, sempre per conto del titolare.
Dal 1 luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, disponibile sul portale dei servizi online dell’Autorità all’indirizzo https://servizi.gpdp.it/databreach/s/.
Le misure del Garante
Il Garante può prescrivere misure correttive nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie, che possono arrivare fino a 10 milioni di euro e nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
