Qualsiasi violazione, a prescindere dalla gravità della stessa deve essere debitamente e puntualmente annotata sul registro delle violazioni (data breach) dal soggetto preposto non appena ne abbia preso conoscenza compilando debitamente ogni campo del registro utile a descriverla o indicando, comunque, ogni altro elemento utile.
Una volta annotata e registrata la violazione sul registro dei data breach questa deve essere debitamente qualificata, valutata nella sua gravità e per i rischi che presenta per i singoli interessati o le categorie di interessati coinvolte.
La violazione prima di essere valutata deve essere qualificata in una delle seguenti categorie:
- Violazione di riservatezza: quando si verifica una divulgazione o un accesso a dati personali non autorizzato o accidentale.
- Comunicazione non autorizzata: i dati personali sono stati indebitamente comunicati ad un numero determinato o comunque determinabile di persone fisiche non autorizzate.
- Divulgazione non autorizzata: i dati personali sono stati comunicati ad un numero non determinato né determinabile di soggetti non autorizzati.
- Violazione di integrità: quando si verifica un’alterazione di dati personali non autorizzata o accidentale.
- Irreparabile: i dati personali sono irrimediabilmente e totalmente alterati con conseguente impossibilità di riutilizzarli nel futuro in qualunque forma. L’unico modo per continuare ad effettuare le attività di trattamento è di operare sulle copie di backup.
- Ripristinabile: i dati personali sono alterati solo in certe loro parti ma il potere identificativo di questi non è integralmente annullato ed i dati possono comunque essere ripristinati nella loro integrità.
- Violazione di disponibilità: quando si verifica perdita, inaccessibilità, o distruzione, accidentale o non autorizzata, di dati personali.
- Indisponibilità assoluta: comporta una perdita di controllo assoluta con impossibilità di accedere ai dati personali.
- Indisponibilità temporanea: comporta una perdita di controllo solo temporanea dei dati personali.
La gravità della violazione deve essere operata caso per caso avendo riguardo il tipo di violazione (di riservatezza, di integrità o di disponibilità), della natura, in ragione al loro carattere comune sensibili dei dati e delle informazioni violati, del volume dei dati personali violati, della facilità di riconoscimento degli interessati i cui dati personali sono stati violati (incide su questo aspetto, ad esempio, l’adozione di misure di sicurezza che diminuiscono il potere identificativo degli interessati come la criptazione o la pseudonomizzazione dei dati personali trattati), della serietà delle conseguenze per le persone fisiche (ad esempio se queste possono subire un effettivo pregiudizio patrimoniale o personale subendo, ad esempio, discriminazioni), delle caratteristiche specifiche delle persone fisiche coinvolte (avendo riguardo se gli interessati coinvolti sono, ad esempio, soggetti minori, disabili, lavoratori dipendenti o altre categorie di soggetti vulnerabili)
Il soggetto preposto alla valutazione della violazione deve sempre valutare analiticamente anche i rischi inerenti la violazione, avendo riguardo se la violazione può comportare per gli interessati: la perdita del controllo dei dati personali che li riguardano; la limitazione dei loro diritti; la discriminazione; la perdita di riservatezza dei dati personali protetti da segreto professionale, qualsiasi altro danno economico o sociale significativo per la persona interessata
Dopo avere qualificato la violazione occorre valutarne la gravità secondo i parametri indicati nel precedente articolo e, successivamente, operare una media fra i diversi fattori contemplati e coinvolti.
Dopo avere operato una media fra i fattori descrittivi della gravità e dei rischi per gli interessati occorre operare una media finale fra i due valori al fine di assegnare alla violazione un punteggio finale.
L’obbligo di notifica e quello aggiuntivo di comunicazione devono essere valutati caso per caso e presi in relazione alla gravità della violazione subita ed avuto riguardo dei diritti ed alla libertà degli interessati quando la violazione sia tale da non consentire di archiviare la violazione.
La violazione può presentare una gravità da bassa/trascurabile a molto alta.
Quando si ha sospetto che la violazione sia di una gravità non trascurabile si deve provvedere a prendere immediatamente contatto con il Titolare o il suo Legale Rappresentante, con il Consulente Esterno ed il DPO ove nominato se questi risulta non esserne già a conoscenza.
La violazione dovrebbe essere annotata nel registro delle violazioni in un termine non superiore ad un’ora dall’avvenuta scoperta della stessa.
Le informazioni necessarie dovrebbero essere reperite e debitamente annotate nel registro in un arco di tempo non superiore a 3 ore dal momento in cui la violazione è stata annotata sul registro.
Nel caso di plurime violazioni da gestire occorre dare precedenza alla violazione stimata di maggiore gravità, avuto particolare riguardo per i rischi per gli interessati.
L’archiviazione va disposta quando il Titolare è in grado di dimostrare che, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
La Notificazione al Garante della violazione va disposta quando questa può presentare un rischio per gli interessati e provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Nel caso in cui il referente data protection sia impossibilitato a provvedere alla gestione della violazione questi deve indicare un soggetto sostituto che operi in sua vece e che svolga le sue funzioni nell’ambito della gestione del data breach.
Il soggetto sostituto deve essere adeguatamente formato ed istruito relativamente alla procedura di gestione della violazione.