Il Regolamento Europeo sulla protezione dei dati personali identifica con il nome di Data Breach, "una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l'integrità o la disponibilità di dati personali."
La casistica dei possibili eventi dannosi è pressoché infinita, solo per citarne alcuni, possiamo identificare come violazione:
- la divulgazione di dati personali a soggetti non autorizzati;
- la perdita o il furto di dati o di strumenti nei quali i dati sono memorizzati;
- la perdita o il furto di documenti cartacei;
- l'infedeltà aziendale (ad esempio: data breach causato da una persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia distribuita in ambiente pubblico);
- l'accesso abusivo (ad esempio: data breach causato da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite);
- banche dati alterate o distrutte senza autorizzazione;
- virus o altri attacchi al sistema informatico o alla rete aziendale;
- violazione di misure di sicurezza fisica (ad esempio: forzatura di porte o finestre di stanze di sicurezza o di archivi contenenti informazioni riservate);
- invio di e-mail contenenti dati personali e/o particolari a erroneo destinatario.
Tutti i titolari del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) sono tenuti, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sono venuti a conoscenza, a notificare la violazione al Garante per la protezione dei dati personali, se questa può comportare un rischio per i diritti e le libertà delle persone fisiche.
Il Garante sottolinea che vanno notificate le violazioni che possono causare danni fisici, materiali o immateriali.
Vengono, quindi, prese in considerazione quelle situazioni in cui si determina un furto di identità, una frode, una discriminazione, la perdita del segreto professionale, un danno reputazionale, una perdita finanziaria, la limitazione di alcuni diritti e qualsiasi altro significativo svantaggio economico o sociale, come conseguenza del data breach.
Le violazioni devono essere tempestivamente "segnalate" al titolare del trattamento, affinché possa attivarsi per la notificazione, da parte di tutti i soggetti che collaborano con il titolare in qualità di soggetti designati, autorizzati o dai responsabili del trattamento, se per primi hanno avuto conoscenza dell'evento dannoso. Il titolare, inoltre, deve prevedere una procedura interna tale da poter garantire la gestione del data breach al suo verificarsi, considerando i tempi contingentati.
Ogni notificazione al Garante oltre le 72 ore deve essere accompagnata dai motivi del ritardo, e nel caso in cui la violazione comporti un rischio "elevato" per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei.
Da notare come, nel caso in cui il titolare non ritenga di procedere alla notificazione al Garante privacy, valutando improbabile un rischio per gli interessati, sia tenuto comunque a mantenere l'informazione dell'avvenuta violazione, compilando un registro (cd. Registro delle violazioni) con l'indicazione delle circostanze, delle conseguenze e delle misure adottate, nell'ottica di permettere all'autorità ispettiva di verificare il rispetto della normativa.
Il contenuto della notifica, previsto dall'art. 33 par. 3 del GDPR, è stato recentemente dettagliato dal Garante nel provvedimento del 30 luglio 2019 sulla notifica delle violazioni dei dati personali.
"La notifica deve essere inviata al Garante tramite posta elettronica certificata all'indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. oppure tramite posta elettronica ordinaria all'indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identità del firmatario.
L'oggetto del messaggio deve contenere obbligatoriamente la dicitura NOTIFICA VIOLAZIONE DATI PERSONALI e opzionalmente la denominazione del titolare del trattamento."*
Per chi non rispetta l'obbligo di notificazione al Garante privacy sono previste sanzioni amministrative che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo.