Risposta
Si verifica una violazione dei dati quando i dati di cui la tua azienda/organizzazione è responsabile subiscono un incidente di sicurezza con conseguente violazione della riservatezza, della disponibilità o dell’integrità. Se ciò si verifica ed è probabile che la violazione costituisca un rischio per i diritti e le libertà di una persona, la tua azienda/organizzazione deve informare l’autorità di vigilanza senza indebito ritardo e al più tardi entro 72 ore dopo aver preso conoscenza della violazione. Se la tua azienda/organizzazione è responsabile del trattamento è necessario notificare ogni violazione di dati al titolare del trattamento.
Se la violazione dei dati comporta un rischio elevato per le persone interessate, devono essere tutte informate, a meno che non siano state adottate misure efficaci di protezione tecnica e organizzativa o altre misure che garantiscano che il rischio non si verifichi più.
Come organizzazione, è fondamentale attuare misure tecniche e organizzative adeguate per evitare possibili violazioni dei dati.
Esempi
L’organizzazione deve informare l’autorità di protezione dei dati e le persone
I dati dei dipendenti di un’azienda tessile sono stati divulgati. I dati includevano gli indirizzi personali, la composizione della famiglia, lo stipendio mensile e le spese mediche di ciascun dipendente. In questo caso, l’azienda tessile deve informare della violazione l’autorità di vigilanza. Poiché i dati personali includono dati sensibili, come i dati relativi alla salute, l’azienda deve informare anche i dipendenti.
Un dipendente ospedaliero decide di copiare i dati dei pazienti su un CD e li pubblica online. L’ospedale lo scopre qualche giorno dopo. Non appena l’ospedale lo scopre, ha 72 ore di tempo per informare l’autorità di vigilanza e, poiché i dati personali contengono informazioni sensibili (se un determinato paziente ha il cancro, se una paziente è incinta ecc.), deve informare anche i pazienti. In questo caso, è dubbio che l’ospedale abbia messo in atto misure di protezione tecniche e organizzative adeguate. Se le avesse messe in atto (ad esempio, criptando i dati), il rischio sarebbe stato improbabile e avrebbe potuto essere esentato dall’obbligo di informare i pazienti.
L’azienda deve informare i clienti e questi possono quindi dover informare l’autorità di protezione dei dati e le persone interessate
Un servizio cloud perde diversi hard disk contenenti dati personali di molti dei suoi clienti. Deve informarli non appena viene a conoscenza della violazione. I suoi clienti devono informare l’autorità di protezione dei dati e le persone a seconda dei dati trattati dal responsabile del trattamento.
Riferimenti
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.