#Privacy e diffusione non Autorizzata di dati personali in ambito Sanitario.
Cosa devo fare in caso di #Data Breach?
In questi giorni ha fatto notizia l’attacco cybercriminale ai sistemi di Synlab, una nota azienda in ambito sanitario, con sottrazione illecita di dati e documenti personali con pubblicazione nel dark web. Purtroppo i casi di rischio di diffusione dei dati personali, sanitari soprattutto e anche appartenenti a minori, il che rende ancora più grave e cogente il tema della #Cybersicurity.
In un panorama digitale sempre più complesso, è inevitabile che le aziende affrontino violazioni dei dati personali. Ogni entità italiana, dalle piccole imprese alle multinazionali, è soggetta a questo rischio. È fondamentale comprendere come affrontare tali situazioni in conformità con le disposizioni del Regolamento Generale sulla Protezione dei Dati (GDPR), che fornisce linee guida chiare su come gestire i Data Breach.
1. Definizione di Data Breach: prima di tutto, è essenziale definire cosa costituisce un Data Breach. Non tutti gli incidenti informatici rappresentano violazioni dei dati personali. Un Data Breach si verifica quando ci sono accessi non autorizzati, copie non autorizzate, divulgazioni non previste, modifiche non autorizzate, perdite di accesso o cancellazioni di dati personali. È importante distinguere tra incidenti e violazioni, poiché queste ultime devono essere gestite in modo specifico e conforme alla normativa vigente.
2. Gestione delle violazioni: la gestione delle violazioni è disciplinata dagli articoli 33 e 34 del GDPR. L'articolo 33 stabilisce l'obbligo di notificare al Garante entro 72 ore dal momento in cui si viene a conoscenza di una violazione, se questa presenta un rischio significativo per i diritti e le libertà delle persone fisiche. D'altra parte, l'articolo 34 richiede la comunicazione agli interessati se la violazione comporta rischi significativi per i loro diritti e le libertà. È fondamentale seguire scrupolosamente queste disposizioni per garantire la trasparenza e la protezione dei dati.
3. Procedura di gestione: la gestione del Data Breach segue una procedura dettagliata. Innanzitutto, il personale deve essere adeguatamente formato per riconoscere e segnalare le violazioni. Successivamente, ogni violazione deve essere accuratamente registrata, valutata e gestita in conformità con i requisiti normativi. Questo processo include la valutazione del tipo di violazione, la determinazione del rischio associato e l'adozione di misure correttive adeguate. È importante documentare ogni fase del processo per dimostrare la conformità e la responsabilità.
In sintesi, la gestione del Data Breach è un processo complesso che richiede un'approfondita comprensione delle normative vigenti, una formazione adeguata del personale e una rigorosa adesione ai protocolli di gestione dei dati. Solo attraverso un approccio olistico e diligente è possibile proteggere efficacemente i dati personali e mantenere la fiducia dei clienti e delle autorità regolatorie.
4. Ecco il processo di gestione del Data Breach in 4 punti sintetici:
1 - Formazione
Formo addetti e responsabili esterni.
2 - Registrazione
Documento tutte le violazioni.
3 - Valutazione
Valuto il tipo di violazione (tipo 1 o tipo 2) e quindi capisco se devo anche notificare alle autorità e agli interessati.
4 - Registro
Documento tutto quello che è successo, cosa ho fatto e cosa farò.
Ti è stata segnalata una violazione.
Chiediti: è davvero una violazione?
Risposta: no. Allora non bisogna fare nulla.
Risposta: sì. Devi approfondire.
Chiediti: è una violazione che lede i diritti e le libertà delle persone fisiche?
Risposta: no. Allora documenta l’incidente nel registro dei trattamenti come violazione di tipo 1.
Risposta: sì. Allora la violazione va notificata alle autorità e registrata come violazione di tipo 2.
5. Data Breach e risarcimento dei danni: il nuovo approdo della Corte di Giustizia Europea
Il contesto della Sentenza della CGUE nella causa C-340/2021
La Corte di Giustizia dell'Unione Europea (CGUE) ha recentemente emesso una sentenza di fondamentale importanza (C-340/2021) il 14 dicembre, offrendo nuove interpretazioni all'articolo 82 del Regolamento UE 2016/679 (GDPR) riguardante la responsabilità civile per violazioni dei dati personali. Questa decisione costituisce un passo significativo nel contesto normativo della protezione dei dati personali nell'Unione Europea.
Regime di responsabilità previsto dall'articolo 82 del GDPR
L'articolo 82 del GDPR introduce un regime di responsabilità civile che presume la colpa del titolare del trattamento dei dati personali in caso di violazioni. Questo articolo stabilisce il diritto delle persone fisiche a ottenere il risarcimento del danno causato da una violazione del regolamento. Inoltre, il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità solo se può dimostrare che l'evento dannoso non gli è imputabile.
In pratica, ciò significa che il titolare del trattamento deve adottare misure idonee per prevenire o mitigare i danni derivanti da violazioni dei dati personali, conformemente agli articoli 24 e 32 del GDPR, che impongono l'obbligo di implementare adeguate misure di sicurezza e dimostrare la conformità al regolamento.
La decisione nella causa C-340/2021
La controversia affrontata dalla CGUE riguardava il risarcimento del danno immateriale sostenuto da un interessato a seguito di una presunta violazione dei suoi dati personali da parte dell'Agenzia nazionale bulgara per le entrate pubbliche. L'interessato ha sostenuto di aver subito un danno immateriale derivante dal timore di un uso futuro improprio dei suoi dati personali a seguito di un attacco informatico e di conseguente data breach.
Responsabilità del titolare e onere probatorio
La CGUE ha chiarito che la violazione dei dati personali da parte di terzi non può essere imputata al titolare del trattamento a meno che non abbia violato gli obblighi previsti dal GDPR. La responsabilità del titolare del trattamento non è assoluta, ma dipende dalla dimostrazione della conformità alle misure di sicurezza appropriate e dall'assenza di colpa nell'evento dannoso.
Risarcimento per danno immateriale
Inoltre, la CGUE ha stabilito che il timore di un uso futuro improprio dei dati personali può costituire un danno immateriale risarcibile ai sensi dell'articolo 82 del GDPR. Questa interpretazione si basa sull'ampia nozione di danno prevista dal GDPR e sull'orientamento della CGUE a interpretare tale concetto in modo da riflettere pienamente gli obiettivi del regolamento.
Tuttavia, è importante notare che l'interessato deve dimostrare di aver realmente sofferto di tali preoccupazioni, e il giudice deve valutare se tali timori siano fondati nelle circostanze specifiche del caso. Inoltre, la violazione dei dati personali non sempre comporta un danno e deve essere dimostrato un nesso causale tra la violazione e il danno subito.
In conclusione, la sentenza della CGUE nella causa C-340/2021 fornisce importanti chiarimenti sulla responsabilità civile per violazioni dei dati personali e stabilisce nuovi parametri per il risarcimento dei danni immateriali derivanti da timori di uso improprio dei dati personali.
In ogni caso, chiunque sia vittima o pensi di essere vittima di una illecita diffusione, consigliamo di farsi tutelare da un legale esperto in materia, procedendo subito alla richiesta di accesso atti e formulando apposita richiesta, con riserva, di risarcimento danni.
Avv. Maria Bruschi
#privacy #dataprotection #protezionedati #databreach #cgue #titolaredati #accountability #datisensibili #datipersonali #interessatodati #diffusionedati #attaccohacker #cybersecurity
Comments