Secondo il GDPR, una violazione è un evento in cui si verifica almeno una di queste ipotesi:

  • I dati personali vengono visti, cioè si ha un “accesso”, da entità, quindi persone ma anche sistemi automatici, che non era previsto potessero farlo;
  • Oppure, dei dati personali viene effettuata una copia, sia essa digitale che cartacea che, in generale, di qualsiasi altro tipo, non prevista dalle procedure o dalle prassi di lavoro, o comunque non autorizzata;
  • Oppure, i dati personali vengono divulgati, cioè messi a disposizione di un numero imprecisato di persone, senza che fosse previsto o autorizzato farlo;
  • Oppure, i dati personali subiscono un qualsiasi genere di modifica che li rende non esatti, e ciò significa anche non completi o non aggiornati;
  • Oppure, i dati personali non possono più essere utilizzati da nessuno, pur continuando ad esistere, a causa di circostanze che rendono impossibile l’accesso ai dati, siano essi digitali che cartacei o in qualsiasi altra forma fisica;
  • Oppure che i dati personali vengano persi o cancellati, sia completamente che parzialmente, in modo che sia impossibile recuperarli se non attraverso altre copie effettuate in precedenza (come per esempio le copie di backup).

È bene sottolineare che ai fini della normativa in oggetto, è assolutamente irrilevante che l’evento sia casuale, accidentale o volontario; basta che l’evento si verifichi perché siamo in presenza della violazione. Si noti comunque che la violazione è tale a prescindere dalla gravità delle conseguenze, e quindi deve sempre essere riportata a chi di dovere; la successiva gestione della segnalazione terrà invece conto delle conseguenze.
È fondamentale tenere bene in mente che la segnalazione di una possibile violazione è un dovere di qualsiasi soggetto, che sia un lavoratore interno all’organizzazione, ma anche che sia invece un soggetto esterno; e che se si ha anche il minimo dubbio, è comunque obbligatorio procedere con la segnalazione, che potrà poi eventualmente essere archiviata. Tutto ciò può accadere correttamente solo con un sufficiente livello di consapevolezza, per la quale è indispensabile la formazione.
Per approfondire: Focus sulla gestione dei data breach

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.