Linee Guida EDPB e Data Breach: il Comitato avvia una consultazione pubblica

Cosa si deve fare in caso di violazione di dati, di perdita o furto di dispositivi e documenti?

A fornire le risposte ci pensano le Linee guida, adottate dall’EDPB (Comitato europeo per la protezione dei dati), per aiutare imprese e PA ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio. Le “Guidelines 01/2021 on Examples regarding Data Breach Notification” approvate il 14 gennaio scorso, si basano sull’analisi dei casi più significativi di violazione dei dati sottoposti all’attenzione dei Garanti Privacy nazionali subiti da istituti bancari, Ospedali, Medie Imprese, Pubbliche amministrazioni e Società che offrono servizi online differenti.

La notizia è stata diffusa dall’Autorità con la newsletter n. 472 del 25 gennaio 2021. Ricordiamo che il Garante per la protezione dei dati personali ha introdotto un nuovo servizio al fine di supportare i titolari del trattamento in vista degli adempimenti previsti in caso di violazione dei dati personali.
Inoltre, sul documento l’EDPB ha avviato una consultazione pubblica per un periodo di sei settimane, fino al 2 marzo 2021, per poter accogliere eventuali commenti. 

EDPB, facendo espresso rimando a quanto contenuto nell’Opinione 03/2014 e nelle Linee Guida WP 250 del WP29, spiega come le violazioni di dati personali possano essere categorizzate secondo tre principi fondamentali:

  • Confidentiality breach: perdita di segretezza del dato, dovuta ad una disclosure accidentale o ad un accesso da parte di soggetti non autorizzati;
  • Integrity breach: alterazione non autorizzata o accidentale dei dati personali (es: improvvisa modifica dei dati anagrafici di un cliente);
  • Availability breach: perdita accidentale o non autorizzata della disponibilità del dato personale (con distruzione dello stesso, nel caso più estremo).

Le Linee guida presentano, per ciascuna casistica, esempi di buone o cattive pratiche e raccomandano modalità di identificazione e valutazione dei rischi (evidenziando i fattori che meritano particolare considerazione) indicando in quali casi chi tratta i dati deve notificare la violazione all’Autorità Garante e, se necessario, informare le persone coinvolte.

Nel testo, che integra e aggiorna gli orientamenti già forniti in precedenza dal Gruppo “Articolo 29”, proprio per offrire un contributo concreto a imprese e PA, si ritrova anche l’analisi delle misure adottate dai titolari del trattamento, prima di aver subito un data breach, per prevenire o attenuare i rischi di una potenziale violazione dei dati e si propone una lista di misure di prevenzione ai vari problemi rilevati.