In un'era in cui la protezione dei dati è fondamentale, la gestione delle violazioni dei dati è diventata una priorità per le imprese. La notifica tempestiva di tali violazioni non solo è una responsabilità legale, ma anche un dovere etico verso i consumatori.

In cosa consiste dunque la violazione dei dati? E quali sono gli obblighi del titolare del trattamento qualora questa si verifichi?

Rispondendo alla prima domanda, la violazione dei dati personali consiste in una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e questa può comportare la compromissione della riservatezza, dell’integrità o della disponibilità dei dati personali.

Dunque, quando si tratta di una violazione dei dati, la tempestività è essenziale. Ma prima di addentrarci nell’analisi del contesto e del contenuto della notifica di una violazione dei dati, sarebbe interessante evidenziare come rendere sicuro il trattamento dei dati in modo da prevenire un data breach.

Nel primo paragrafo dell’articolo 32 del Regolamento vengono elencate alcune delle possibili misure utilizzabili per trattare i dati in sicurezza e queste sono:

• la pseudonimizzazione e la cifratura dei dati personali;

• la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

Ci sono poi altre misure adottabili, come:

• un sistema di autenticazione a due o più fattori (sottolineerei l’obsolescenza della password, misura di sicurezza ormai non più sufficiente a tutelare i dati delle imprese);

• installare un sistema antivirus efficace e aggiornato, possibilmente non disattivabile da un utente;

• effettuare dei backup frequentemente;

• formare il personale dipendente del titolare del trattamento affinché possano riconoscere e prevenire potenziali minacce e infine, avere un piano di risposta ben definito per ridurre significativamente i tempi di reazione e limitare i danni in caso di violazione.

  
  

Passando alla seconda domanda, l’articolo 33 impone al titolare del trattamento l’obbligo di notificare all'autorità di controllo competente senza ritardi ingiustificati e, ove possibile, entro 72 ore dalla scoperta, la violazione dei dati (altrimenti, se comunicate in ritardo, le notifiche riguardo la violazione devono essere accompagnate dai motivi del ritardo). Oppure, se è il responsabile del trattamento a venire a conoscenza di una eventuale violazione, quest’ultimo è tenuto a informare tempestivamente il titolare in modo che esso possa attivarsi. Al terzo paragrafo dell’articolo troviamo il contenuto richiesto per la notifica.

Una notifica deve almeno descrivere la natura della violazione dei dati personali, compresi le categorie e il numero di interessati e dei dati personali in questione; comunicare i dati di contatto del responsabile della protezione dei dati; descrivere le probabili conseguenze della violazione dei dati personali e descrivere le misure adottate o di cui si intende adottare per porre rimedio alla violazione dei dati personali.

In più, qualora la violazione comporti un rischio elevato per i diritti delle persone, secondo l’articolo 34, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, salvo che abbia già preso misure tali da ridurne l’impatto.

La comunicazione deve essere chiara e comprensibile, spiegando la natura della violazione, le sue probabili conseguenze e le misure che sono state o saranno adottate per mitigare i suoi effetti negativi. Inoltre, dovrebbe includere consigli pratici su come gli individui possono proteggersi ulteriormente, ad esempio cambiando le password o monitorando i loro conti bancari.

Le violazioni dei dati personali però non hanno conseguenze solo nei confronti dell’interessato, ma anche sull’organizzazione e gli individui coinvolti, ad esempio la comminazione di sanzioni pecuniarie: la mancata notifica di una violazione dei dati può portare a pesanti sanzioni. Secondo il GDPR, le multe possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale dell'impresa, oppure, possono verificarsi dei danni reputazionali: la fiducia dei clienti è cruciale per qualsiasi impresa, una violazione dei dati non gestita correttamente può danneggiarne seriamente la reputazione, causando la perdita di clienti.

Portando ad esempio un caso pratico, il Garante privacy che ha sanzionato per 500 mila euro Vodafone Italia in seguito ad un reclamo presentatogli da una signora anziana, che si era vista trasferire, contro la sua volontà, la propria utenza telefonica da un altro operatore a Vodafone stessa. Nel corso dell’istruttoria del Garante, la società si era difesa affermando la volontà dell’utente a sottoscrivere un contratto alternativo telefonicamente. L’Autorità, riascoltando la registrazione del colloquio con il call center albanese, ha però accertato che all’utente non era stata fornita un’adeguata informativa sul trattamento dei suoi dati, resa per giunta incomprensibile dalla velocità con cui era letta al telefono. Nel provvedimento, l’Autorità ha quindi contestato a Vodafone di aver violato, tramite la società albanese, i principi di correttezza e trasparenza previsti dal GDPR in relazione alla conclusione di un contratto per servizi telefonici*.

In conclusione, la trasparenza e la tempestività nella notifica delle violazioni sono fondamentali non solo per evitare sanzioni e danni reputazionali, ma anche per mantenere la fiducia degli utenti e proteggere i loro dati personali. Adottare una strategia proattiva e chiara, combinata con l'uso di strumenti adeguati e avere un personale formato e aggiornato, permette alle aziende di affrontare con competenza e sicurezza eventuali incidenti di sicurezza. La conformità agli articoli 32, 33 e 34 del GDPR rappresenta quindi un pilastro nella protezione dei dati personali e nella gestione del rischio aziendale.

Se sei interessato ad approfondire le tematiche relative al trattamento dei dati, iscriviti al Data Protection Forum 2025 (#DPF2025) cliccando sul pulsante qui sotto! La partecipazione è gratuita ma i posti sono limitati!

Fonti:

*https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9826440