Gestione di una violazione di dati personali

Cosa si intende per violazione?

Per violazione di dati personali, come indicato nelle linee guida del gruppo di lavoro dei garanti Europei, si intende un ‘’tipo di incidente di sicurezza che comporta accidentalmente o illecitamente una distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati personali oggetto di trattamento".‍

È utile ricordare che una violazione sui dati personali è sempre un incidente di sicurezza mentre non è detto che gli incidenti di sicurezza siano sempre configurabili come violazioni di dati personali.

Gli articoli 33 e 34 del GDPR prevedono 3 tipi di violazioni di dati personali:

1. violazione della riservatezza, in caso di divulgazione o accesso non autorizzato o accidentale;
2. violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati trattati;
3. violazione della disponibilità, in caso di perdita, accesso e distruzione accidentali o non autorizzate.

Come inserisco una violazione in UTOPIA?

Per registrare una violazione devi prima creare il relativo registro. Per prima cosa accedi al menù Violazioni, clicca il pulsante (+) e indica il registro dei trattamenti di riferimento. Infine, salva cliccando sull'icona in alto a destra. In questo modo saranno inserite in automatico le seguenti informazioni:

• data di creazione;
• data di ultima modifica;
• utente creatore del registro.

Ora passa alla sezione Violazioni, clicca il pulsante (+) e inserisci la violazione compilando le seguenti voci:

• ‍identificazione: indica la tipologia di violazione e nei campi a testo libero descrivi i dettagli dell'evento;
• natura e cause: scegli la tipologia di violazione avvenuta e le cause
• oggetto: indica i trattamenti e gli interessati coinvolti nella violazione;‍
• conseguenze: indica i danni causati dall’evento, le sue conseguenze e la valutazione del rischio causato dalla violazione avvenuta;
• misure: indica le misure tecniche e organizzative per contenere la portata dell’evento compresi gli asset coinvolti e l’eventuale data di applicazione;‍
• contatti: indica i riferimenti delle persone coinvolte nella gestione dell’evento come DPO, referenti privacy, o altri collaboratori;‍
• notifica: nel caso l’obbligo di notifica si rilevi necessario, puoi indicare a chi, garante o anche interessati, e quando è stata effettuata;‍
• altre indicazioni: aggiungi ulteriori dettagli sulla violazione utili all’autorità di controllo
• allegati: allega documenti di qualsiasi tipo per descrivere l’evento della violazione.

Terminata la compilazione, salva cliccando l'icona in alto a destra.

Imparare a gestire le violazioni in UTOPIA è un passo fondamentale per garantire la compliance alla tua organizzazione. 

Per approfondire l’obbligo di tenuta del registro delle violazioni, previsto dall’art. 33.5 del GDPR,  leggi il nostro approfondimento.

Notificare la violazione all’autorità di controllo

Oltre all’obbligo di tenuta del registro delle violazioni previsto dalla normativa, indipendentemente dal tipo di violazione avvenuta, ci sono alcuni casi in cui è necessario comunicarla all’autorità di controllo entro un tempo di 72 ore dal momento in cui si viene a conoscenza della violazione.

Per fare questo, il garante per la protezione dei dati personali ha messo a disposizione sul suo sito un PDF con tutti i dati richiesti che andrebbe compilato e mandato via mail.

Registrando la violazione, oltre a rispettare l’obbligo di tenuta del registro, effettui anche la comunicazione all’autorità di controllo nei casi previsti. Seleziona la violazione, clicca il pulsante di “Download” e inviala nei modi previsti.

In questo modo non devi compilare nuovamente il documento proposto dal garante, la violazione che esporti contiene già tutti gli elementi richiesti per la comunicazione.