EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
13/11/2024 Ingiunzione del Garante di comunicare la violazione dei dati agli interessati e prescrizioni obbligatorie
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Il Garante, con Provvedimento del 2 novembre 2024 (Registro dei provvedimenti n. 659 del 2 novembre 2024), ha esaminato il caso di una perdita di riservatezza di dati personali determinata dall’accesso non autorizzato da parte di un dipendente ai dati personali dei clienti (nella fattispecie bancari).

In particolare, gli accessi illeciti “…sarebbero stati quasi settemila, realizzati tra il 21 febbraio del 2022 e il 24 aprile del 2024, e avrebbero più in particolare riguardato gli oltre tremilacinquecento clienti” e tale situazione sarebbe stata scoperta dal Titolare (Istituto bancario) attraverso la denuncia di un cliente.

Il Titolare ha sostenuto:

  • di non aver effettuato la comunicazione agli interessati potenzialmente coinvolti, ai sensi dell’art. 34 del GDPR, non ritenendo sussistente - coerentemente a quanto concluso dal Responsabile della protezione dei dati - la condizione di una violazione dei dati personali “suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 34.1 GDPR).

Se non che il Garante, contrariamente a quanto ritenuto dal Titolare, ha valutato che la violazione dei dati personali fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, tenuto conto:

  • che in presenza delle condizioni previste dall'art. 615-ter C.P., il caso di specie può integrare un’ipotesi di reato;
  • delle categorie dei dati personali oggetto di violazione;
  • della gravità e persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione (quali, a titolo di mero esempio, la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale);
  • del settore di attività del Titolare, che richiede un elevato grado di responsabilizzazione da parte dei propri incaricati, al fine di garantire la fiducia nei propri confronti da parte dei clienti, soddisfacendo, in particolare, le loro legittime aspettative di riservatezza e di sicurezza del trattamento.

Inoltre, il Garante ha rilevato che la valutazione di rischio non elevato, effettuata dal Titolare e da cui è derivata la decisione di non effettuare la comunicazione agli interessati, non consente agli interessati medesimi di assumere gli idonei comportamenti cautelativi per difendersi dalla perdita di riservatezza dei dati che li riguardano (cons. n. 86 del Regolamento; cfr. anche Provv. n. 264 del 10 dicembre 2020, doc. web n. 9557555).

Il Garante ha, conseguentemente, ingiunto al Titolare di:

  1. comunicare agli interessati la violazione dei dati personali entro 20 giorni, fornendo le informazioni minime previste e osservando le seguenti prescrizioni:
  • la comunicazione deve essere effettuata attraverso un contatto individuale, preferibilmente attraverso personale appositamente istruito, nelle modalità ritenute più idonee dal Titolare, individuando un ordine di priorità e un calendario eventualmente differenziato, secondo una tempistica proporzionata al rischio;
  • la comunicazione deve essere rivolta individualmente e personalmente a ciascun interessato cui si riferiscano i dati oggetto di accesso indebito, quando non vi siano evidenze in merito ad accessi effettuati per esigenze di servizio;
  • le attività di contatto della clientela coinvolta devono essere dettagliatamente registrate e documentate in forma scritta, nelle modalità di svolgimento e negli esiti del contatto, nel rispetto del principio di responsabilizzazione;
  • devono essere altresì documentati gli accessi giustificati da ragioni di servizio del dipendente, esclusi evidentemente dall’azione di comunicazione, nonché gli accessi che, proprio a seguito dell’azione di comunicazione, dovessero essere riconosciuti come legittimi dai clienti perché effettuati nel loro interesse e comunque per ragioni di servizio;

    2. trasmettere all’Autorità, entro 30 giorni, una documentazione adeguata sulle misure intraprese per attuare la comunicazione agli interessati, fermo restando che il Titolare del trattamento deve dimostrare all’Autorità di aver adempiuto alle prescrizioni impartite mediante la trasmissione di documentati riscontri al Garante entro il termine sopra indicato, di 30 giorni;

    3.annotare le violazioni e le misure adottate nel registro interno dell'Autorità, come richiesto dal Regolamento.

  • LA COMUNICAZIONE AGLI INTERESSATI

L'ingiunzione del Garante è particolarmente gravosa nel caso di specie tenuto conto che, in soli 30 giorni, il Titolare deve effettuare migliaia di operazioni, osservando le onerose prescrizioni impartite, e deve darne riscontro all'Autorità.

Per questo motivo occorre evitare di incorrere in violazioni di questa natura e, al riguardo, è necessario tenere presente quanto stabilisce la normativa vigente sul tema.

Va opportunamente rilevato che, in base all’art. 34, par. 1, del GDPR, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.

La comunicazione all'interessato:

1. descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali;

2. contiene almeno le informazioni e le misure di seguito indicate:

b) il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) le probabili conseguenze della violazione dei dati personali;

d) le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c) detta comunicazione richiederebbe sforzi sproporzionati; in tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Ciò premesso, in tema di comunicazione vanno altresì richiamate, altrettanto opportunamente, le Linee guida sulla notifica (Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato europeo per la protezione dei dati il 28 marzo 2023).

A fronte di una violazione dei dati personali, tali Linee guida individuano i seguenti elementi da valutare per ponderare il rischio per i diritti e le libertà degli interessati:

  • il tipo di violazione;
  • la natura;
  • il carattere sensibile e il volume dei dati personali;
  • la facilità di identificazione degli interessati;
  • la gravità delle conseguenze per gli interessati;
  • le caratteristiche particolari dell’interessato;
  • le caratteristiche particolari del Titolare del trattamento dei dati;
  • il numero di interessati coinvolti.

Inoltre, le Linee guida osservano che:

  • “in linea di principio, la violazione dovrebbe essere comunicata direttamente agli interessati coinvolti, a meno che ciò richieda uno sforzo sproporzionato. In tal caso, si procede a una comunicazione pubblica o a una misura simile che permetta di informare gli interessati con analoga efficacia” (cfr. art. 34, par. 3, lett. c), del Regolamento), richiamando le “Linee guida sulla trasparenza ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018. Queste ultime Linee guida chiariscono che il titolare dovrebbe “effettuare una valutazione mettendo sulla bilancia, da un lato, lo sforzo […] e, dall’altro, l’impatto e gli effetti […] sull’interessato”.

Nel ricostruire le caratteristiche dell'istituto della comunicazione il Garante evidenzia ulteriormente che:

  • “la comunicazione agli interessati rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati e ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi dalle possibili conseguenze negative di una violazione (cfr. cons. n. 86 del Regolamento);
  • in ogni caso, le Linee guida sulla notifica raccomandano al titolare del trattamento di “scegliere un mezzo che massimizzi la possibilità di comunicare correttamente le informazioni a tutte le persone interessate” evidenziando che “si potrebbe altresì prevedere l’adozione di disposizioni tecniche per rendere le informazioni sulla violazione disponibili su richiesta, soluzione questa che potrebbe rivelarsi utile per le persone fisiche che potrebbero essere interessate da una violazione ma che il titolare del trattamento non può altrimenti contattare”;
  • le Linee guida sui casi di violazione dei dati personali evidenziano come la comunicazione agli interessati sia una buona pratica e un fattore di mitigazione in presenza di un attacco ransomware con esfiltrazione poiché “la violazione riguarda non solo la disponibilità dei dati, ma anche la riservatezza, in quanto l'autore dell'attacco può aver modificato e/o copiato i dati dal server. Pertanto, il tipo di violazione comporta un rischio elevato” e che “la natura, la sensibilità e il volume dei dati personali aumentano ulteriormente i rischi, poiché il numero di persone interessate è elevato, così come la quantità complessiva di dati personali compromessi” (cfr. parr. 42 e 43) e, laddove coinvolga dati di diversa natura, fra cui quelli finanziari, può causare un danno più elevato: “Le violazioni che coinvolgono dati sanitari, documenti di identità o dati finanziari come i dettagli della carta di credito possono causare danni di per sé, ma se utilizzate insieme potrebbero essere utilizzate per il furto di identità. Una combinazione di dati personali è in genere più sensibile di un singolo dato personale.” (cfr. par. 108)”.

In relazione a tutte le predette considerazioni, il Garante ha concluso nel senso della obbligatorietà, nel caso di specie, della comunicazione a tutti gli interessati, potenzialmente coinvolti da un rischio alto per i diritti e le libertà individuali.

Le prescrizioni con cui il Garante ha accompagnato l'ordine/ingiunzione di comunicazione tengono conto della particolare delicatezza dei dati personali oggetto di violazione, in base al principio di precauzione che obbliga il Titolare ad adottare le maggiori cautele possibili a fronte della potenzialità lesiva recata dalle ripetute azioni poste in essere dal dipendente e che sono tuttora al vaglio dell’Autorità giudiziaria competente.

Categorie
News
Parole chiave
Violazione di dati personali
Garante per la Privacy
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits