L’articolo 4 p.12 del GPDR definisce la “violazione dei dati personali” come una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

L’art. 33 del GDPR prevede che “in caso di violazione dei dati personali, il Titolare del trattamento notifica la violazione all’ Autorità` di controllo competente a norma dell’art. 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’ Autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”. 

Le violazioni possono essere classificate in tre macro categorie che, a seconda dei casi, possono riguardare contemporaneamente la riservatezza, l’integrità` e la disponibilità` dei dati personali (anche in combinazione):

1. “violazione della riservatezza” in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali
2. “violazione dell’integrità` del dato” in caso di modifica non autorizzata o accidentale dei dati personali
3. “violazione della disponibilità` del dato”, in caso di perdita o distruzione accidentali o non autorizzati di dati personali

A seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.

A seconda delle circostanze in cui si verifica, la violazione può` richiedere o meno la notifica all’ Autorità di controllo e la comunicazione alle persone fisiche coinvolte. 
Il titolare del trattamento, riscontrata una violazione, dovrà pertanto di volta in volta valutare la probabilità` e la gravità` del conseguente impatto sui diritti e sulle libertà delle persone fisiche e:

• documentare la violazione nel proprio Registro delle violazioni (sempre)
• effettuare la notifica al Garante (a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà` delle persone fisiche)
•  comunicare la violazione ai soggetti interessati (laddove possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte

La rilevazione/segnalazione di un data breach può` essere di fonte interna o esterna all’Ente.
POSSONO ESSERE FONTI INTERNE: notizie ricevute da parte del personale dipendente; da parte del personale convenzionato/stagisti/tirocinanti; dall’Amministratore di Sistema (ove presente); dalle figure preposte alla manutenzione degli impianti informatici o alla gestione degli archivi; dagli utenti dei servizi.
SONO FONTI ESTERNE: notizie ricevute da parte delle forze dell’ordine; da parte dei responsabili del trattamento; da parte del DPO; da parte degli interessati; da parte di terzi.

La segnalazione, qualunque sia la forma, deve essere immediatamente messa a conoscenza del legale rappresentante dell’Ente, della Direzione, dell’amministratore di sistema (soggetti che compongono il “gruppo di gestione del data breach aziendale”) attraverso canali di posta elettronica (iaps.tn@pcert.it) e avvertimento verbale/telefonico.