La violazione di dati personali (Data Breach)

Nella valutazione del rischio di trattamento dei dati e di conseguenza del livello di sicurezza adeguato, l’art. 32 GDPR prevede che il titolare del trattamento deve porre particolare attenzione al rischio di violazione dei dati personali (Data Breach), e di conseguenza adottare misure adeguate per mitigarlo. Con il termine “Data breach” si intende una violazione dei dati personali, consistente in un trattamento illegittimo compiuto in modo fraudolento o casuale da parte di un terzo che, aggirando le misure di sicurezza apprestate dal Titolare, acceda ai dati personali da lui trattati. In tal caso, il GDPR prevede che il Titolare del trattamento, qualora ritenga probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati, deve entro 72 ore, darne comunicazione all’Autorità Privacy, e in alcuni casi anche al diretto interessato. Si tratta di un adempimento che, rispetto ad altri (ad esempio, il rilascio dell’informativa privacy) risulta di più difficile interpretazione e gestione per i titolari del trattamento, e che è troppo spesso trascurato, ma dal quale possono risultare rischi legali molto elevati per le aziende, come è testimoniato dalle numerose sanzioni comminate dall’Autorità Garante.

1. La valutazione d’impatto sulla protezione dei dati

L’art. 35 del GDPR prevede che quando un determinato trattamento – tenuto conto dell’uso di nuove tecnologie e della sua natura, del contesto e delle finalità – può presentare un rischio elevato per i diritti e libertà delle persone fisiche, il Titolare deve effettuare una valutazione d’impatto sulla protezione dei dati(“Data Protection Impact Assesment”, o “DPIA”).

La DPIA consiste essenzialmente in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati, attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli.

Il GDPR obbliga infatti il Titolare del trattamento a svolgere una valutazione di impatto prima di dare inizio al trattamento stesso, consultando l’autorità di controllo qualora le misure tecniche e organizzative individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti, cioè quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Si tratta di uno strumento importante per il Titolare, non soltanto al fine di rispettare le prescrizioni del GDPR, ma anche a dimostrare l’adozione di misure idonee a garantirne il rispetto. In altri termini, la DPIA è una procedura che permette al Titolare di realizzare e dimostrare la conformità del trattamento alle norme del GDPR, in ossequio al principio di accountability introdotto dal GDPR.

La DPIA può interessare un singolo trattamento o una serie di trattamenti simili tra loro, per natura, ambito di applicazione, contesto, finalità e rischi dei trattamenti, e deve contenere:

una descrizione dei trattamenti previsti e delle finalità del trattamento;
una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
una valutazione per i rischi per i diritti e le libertà degli interessati e le misure previste per affrontare i rischi.

Ai sensi dell’art. 35 par. 3 GDPR, esempi della situazione di elevato rischio per i diritti e le libertà delle persone, che rende obbligatorio eseguire una DPIA, sono:

un trattamento che comporti la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, sulla quale si fondano decisioni che hanno effetti giuridici o incidono su dette persone fisiche;
un trattamento su larga scala di dati sensibili e giudiziari;
un trattamento che consista nella sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

In proposito, il Considerando 91 del GDPR precisa che costituiscono operazioni di trattamento di dati su larga scala quelle in cui viene elaborata “una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati”.

Come chiarito dalle Linee guida in materia di valutazione d’impatto sulla protezione dei dati emanate dal WP 29 nel 2018, la responsabilità della DPIA spetta al Titolare, coadiuvato dal responsabile della protezione dei dati, a cui il titolare deve chiedere un parere (non vincolante) in proposito. Per la individuazione dei trattamenti da sottoporre a DPIA, le Linee guida individuano nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”; il ricorrere di due o più criteri è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e richiede, quindi, una valutazione d’impatto sulla protezione dei dati. Tuttavia, il titolare del trattamento può richiedere una valutazione d’impatto sulla protezione dei dati anche in presenza di uno solo di questi criteri, tenuto conto delle circostanze del caso concreto.

L’art. 35 par. 5 GDPR concede alle DPA la possibilità di redigere un elenco pubblico di tipologie di trattamenti per i quali si rende necessaria la DPIA. In tale prospettiva il Garante ha predisposto nell’ottobre 2018, sulla base delle Linee Guida del WP 29, un elenco, che prevede le seguenti ipotesi:

Trattamenti valutativi o di scoring effettuati su larga scala, profilazione, attività predittive;
Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici oppure tali da incidere in modo significativo sull’interessato, come impedire l’esercizio corretto di un diritto o di avvalersi di un bene o di un servizio o di poter continuare ad essere parte di un contratto in essere (ad esempio lo screening effettuato sui clienti di una banca attraverso l’utilizzo dei dati registrati in una centrale rischi);
Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati online o con App, il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione, e i trattamenti di metadati ad esempio in ambito telecomunicazioni, banche, ecc. effettuati anche per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc;
Trattamenti su larga scala di dati aventi carattere estremamente personale, compresi dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);
Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (quali IoT, sistemi di intelligenza artificiale, assistenti vocali on-line attraverso lo scanning vocale e testuale. monitoraggi effettuati da dispositivi wearable, tracciamenti di prossimità);
Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (ad esempio pagamenti effettuati tramite tecnologia mobile);
Trattamenti di categorie particolari di dati oppure di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse;
Trattamenti sistematici di dati biometrici e genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

L’elenco è vincolante ma non è esaustivo; resta fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dalle Linee Guida. Infine, in caso di dubbi il titolare potrà sempre rivolgersi alla DPA per una consultazione preventiva sulla necessità o meno di effettuare la valutazione di impatto (art. 36 GDPR).

2. La Data Breach

Nella valutazione del rischio di trattamento e di conseguenza del livello di sicurezza adeguato, l’art. 32 par. 2 GDPR prevede che si ponga particolare attenzione al rischio di violazione dei dati personali (Data Breach), e di conseguenza di adottino misure adeguate per mitigarlo.

Con il termine “Data breach” si intende una violazione dei dati personali, definita dall’art. 4, par. 2 del GDPR come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Si tratta quindi di una nozione assai ampia, nella quale rientrano tutte le ipotesi di trattamento illegittimo compiuto in modo fraudolento o casuale da parte di un terzo che, aggirando le misure di sicurezza apprestate dal Titolare (relativamente sia ai sistemi informatici e ai trattamenti automatizzati, che a documenti cartacei contenenti dati personali), acceda ai dati personali da lui trattati.

Una violazione dei dati personali può quindi avvenire anche per fatti che sono indipendenti dalla volontà di un soggetto. Occorre, infatti, valutare le condizioni oggettive con cui si verifica una violazione e non la provenienza dei comportamenti che l’hanno cagionata.

Il Garante ha individuato alcuni possibili esempi di Data breach:

l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
il furto o la perdita di dispositivi informatici contenenti dati personali;
la deliberata alterazione di dati personali;
l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
la divulgazione non autorizzata dei dati personali.

Ricorre una violazione altresì nelle ipotesi di trattamenti illegittimi riconducibili ad una condotta del Titolare stesso, anche omissiva. Ciò implica la possibilità che il Titolare dovrà autodenunciarsi nel caso in cui la violazione dei dati personali sia dovuta, ad esempio, ad una sua mancata adozione di idonee misure di sicurezza o ad errata progettazione delle operazioni di trattamento. In proposito, l’art. 83 del GDPR prescrive che i legislatori nazionali, nello stabilire l’opportunità di infliggere una sanzione amministrativa e l’ammontare della stessa, devono tenere in considerazione se il titolare o il responsabile hanno notificato la violazione.

3. La notifica di Data Breach al Garante

L’art. 33 del GDPR prevede che, in caso di Data Breach, il Titolare del trattamento, qualora ritenga probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (v. Considerando 85), deve senza ritardo, e comunque entro al massimo 72 ore da quando ne sia venuto a conoscenza, darne comunicazione all’Autorità Privacy.

Qualora poi il Titolare non avesse notificato o comunicato la violazione, o l’avesse fatto in ritardo, dovrà indicarne le ragioni nonché la metodologia applicata per la valutazione del rischio. In proposito, il WP 29 precisa che la conoscenza da parte del Titolare di un Data Breach decorre dal momento in cui egli abbia un certo grado di certezza in ordine al fatto che si sia verificato un incidente alla sicurezza e che ciò abbia compromesso i dati personali trattati.

L’adempimento in oggetto non rappresenta una novità assoluta per il diritto interno, in quanto l’art. 32-bis del Codice Privacy prevedeva già l’obbligo, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, di comunicare senza indebiti ritardi al Garante la violazione di dati personali da essi detenuti. Tuttavia, a differenza di quanto previsto all’art. 32-bis del Codice Privacy, ai sensi del GDPR l’obbligo di comunicazione alla DPA scatta per l’operatore soltanto nel caso sia probabile che la violazione presenti “un rischio per i diritti e le libertà degli interessati” (art. 33 par. 1 GDPR); dunque la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al Titolare.

Il WP 29 elenca gli elementi che il Titolare deve valutare per decidere se sia necessario o opportuno la notifica all’Autorità Garante:

il tipo di Data Breach;
le categorie di dati coinvolte e il volume di dati; a tal proposito occorre verificare se il dato fosse già disponibile al pubblico prima della violazione, ad esempio perché l’interessato l’aveva condiviso e pubblicato;
la facilità di identificazione degli interessati, partendo dai dati personali oggetto di Data Breach;
la gravità delle conseguenze della violazione, in base alla qualità dei soggetti coinvolti;
le caratteristiche personali dell’interessato e del Titolare;
il numero di persone colpite dalla Data Breach;
criteri generali quali la probabilità e la gravità del rischio per i diritti e le libertà delle persone fisiche.

Il contenuto della notifica all’Autorità Garante è stabilito dall’art. 33 par. 3 GDPR, il quale prevede che il Titolare debba:

descrivere la natura della violazione, comprese le categorie e il numero approssimativo degli interessati toccati dalla stessa e le registrazioni dei dati; il WP 29 suggerisce sul punto che il Titolare dichiari tutti i soggetti i cui dati personali siano stati interessati dalla Data Breach;
il nome del DPO e i suoi dati di contatto, ove nominato, oppure di un altro punto di contatto ove ottenere informazioni;
descrivere le probabili conseguenze della Data Breach;
dichiarare le misure adottate o che si propone di adottare per porre rimedio alla violazione dei dati, e se del caso per attenuarne gli effetti negativi.

4. La comunicazione all’interessato della violazione dei dati personali

Qualora il Titolare rilevi che la Data Breach presenti un rischio elevato per i diritti e le libertà delle persone fisiche (dell’interessato o di terzi), l’art. 34 GDPR prevede che è necessario comunicare la violazione anche al diretto interessato, senza ingiustificato ritardo, con un linguaggio chiaro e semplice.

Al riguardo, il considerando 88 precisa che il ritardo del Titolare nella comunicazione all’interessato è giustificato se dovuto alle indagini della competente Autorità. Ai sensi del considerando 88 GDPR, il WP 29 ha predisposto in proposito un elenco non esaustivo di esempi di Data Breach che devono essere comunicati agli interessati, come ad esempio qualora la violazione esponga immediatamente l’interessato ad una minaccia o risulti evidente il probabile rischio di furto d’identità.

Ai sensi dell’art. 34 par. 3 GDPR, la comunicazione della Data Breach all’interessato non è necessaria quando:

il Titolare abbia posto in essere misure tecniche/organizzative prima della Data Breach, in particolare misure che rendano i dati comprensibili a chiunque non sia autorizzato all’accesso, quale la cifratura;
il Titolare abbia adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà dell’interessato o di terzi dopo la Data Breach, oppure
La comunicazione richiederebbe uno sforzo sproporzionato, fermo restando che in tal caso dovrà essere comunque adottata una comunicazione pubblica o misura simile che abbia analoga efficacia; il WP 29 suggerisce in proposito di adottare sms, e-mail, messaggi diretti o banners in evidenza sul sito del titolare, comunicazioni a mezzo posta o pubblicità sulla carta stampata.

Indipendentemente dal fatto che una violazione debba o meno essere notificata all’Autorità, il Titolare del trattamento deve comunque sempre conservare una documentazione di tutte le violazioni. L’art. 33, par. 5 del GDPR prevede infatti che Il Titolare del trattamento deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Il Titolare, dunque, dovrà riportare in un apposito registro i dettagli relativi alla violazione, incluse le cause, i potenziali effetti, la tipologia dei dati personali violati, le azioni correttive poste in essere per recuperarli e per contenere il danno, le tempistiche di intervento, le modalità con cui è stata comunicata agli interessati la violazione.

5. Le linee guida del WP 29 del 2017 sulla violazione dei dati personali

Nell’ottobre 2017, il WP 29 ha emanato delle linee guida in tema di Data Breach Notification, che forniscono utili indicazioni agli operatori per un corretto assolvimento dell’obbligo in esame. Tali linee guida sono state poi validate nel maggio 2018 dal Comitato europeo per la protezione dei dati.

Nelle Linee-guida si ritiene anzitutto che l’obiettivo primario di un’efficace politica di protezione dei dati è quello di prevenire una violazione e, laddove questa si verificasse, di reagire tempestivamente. La capacità di individuare, indirizzare e segnalare tempestivamente una violazione è quindi un elemento essenziale di quelle stesse misure che l’operatore deve mettere in atto per garantire un adeguato livello di sicurezza dei dati personali.

Il WP 29, in funzione di una corretta analisi del rischio sotteso al trattamento dei dati, ha classificato le violazioni dei dati personali in tre categorie:

“violazione della riservatezza”, in caso di divulgazione o accesso non autorizzato o accidentale ai dati personali;
“violazione della disponibilità”, in caso di perdita accidentale o non autorizzata di accesso o distribuzione di dati personali;
“violazione dell’integrità”, in caso di alterazione non autorizzata o accidentale dei dati personali.

Il Titolare e il Responsabile del trattamento, sulla falsariga di quanto prevede il GDPR in relazione alla valutazione d’impatto sulla protezione dei dati (DPIA), deve dunque effettuare una ricognizione preliminare dell’insieme dei dati personali trattati e dei rischi potenziali determinati dalle operazioni di trattamento, attribuendo un valore ai differenti dati personali che detiene e ai pericoli cui gli interessati sono esposti, in modo da determinare la soglia di accettazione dei rischi e prevedere le opportune strategie di azione.

Secondo il Considerando 76 del GDPR, la valutazione del rischio dovrebbe sempre prendere in esame, oltre che la probabilità e la gravità del rischio, anche parametri oggettivi. In proposito, il WP 29 ha identificato alcuni parametri idonei a rappresentare obiettivamente gli effetti potenzialmente pregiudizievoli per gli interessati prodotti dalla violazione e, quindi, utili all’operatore per decidere se sia o meno necessario procedere alla notifica della violazione:

tipologia della violazione (perdita, distruzione, divulgazione, sottrazione dei dati);

natura, sensibilità e volume dei dati personali violati (dati sanitari, dettagli finanziari ecc.);
facilità di identificazione delle persone (assenza di crittografia o di pseudonimizzazione);
gravità delle conseguenze per gli individui (furto di identità, frode, danno fisico, disagio psicologico, umiliazione, danno alla reputazione, violazione di segreto professionale, discriminazione);
categorie particolari dei soggetti interessati dalla violazione (minori o altri individui vulnerabili);
numero delle persone colpite dalla violazione;
caratteristiche particolari del titolare dei dati (strutture sanitarie, istituti di credito).

Nella valutazione di tali criteri indicativi, il Titolare del trattamento dovrà comunque tenere conto dello specifico contesto nel quale si è verificata la violazione e, nel dubbio, dovrà prendere in considerazione l’ipotesi peggiore, ossia quella nella quale la riservatezza o i dati personali degli interessati siano effettivamente stati pregiudicati dall’evento.

In proposito, l’art. 2-quinquesdecies Codice Privacy prevede che, per i trattamenti la cui base giuridica sia costituita dall’esecuzione di un interesse pubblico o che presentino rischi elevati, il Garante potrà prevedere, con provvedimenti generali adottati d’ufficio, che il titolare sia tenuto ad adottare misure ed accorgimenti a garanzia dell’interessato.

6. Le linee guida del WP 29 del 2021 sulla violazione dei dati personali

Nel dicembre 2021, il WP 29 ha adottato le nuove Linee Guida sulle Data Breach Notification, che integrano le precedenti linee Guida del 2017. Il WP 29 si è soffermato su talune circostanze, che, frequentemente, causano violazioni di dati, fornendo sia casistiche esemplificative sia le misure preventive da adottare e le eventuali azioni per mitigare i danni in caso di breach, nonché, infine, le opportune misure tecniche e organizzative da implementare nell’ambito della struttura del titolare.

In primo luogo, è stato analizzato il c.d. ransomware, consistente nel criptare i dati attraverso un codice maligno e, successivamente, nella richiesta al titolare di un riscatto come prezzo del codice di decrittazione. Il fatto che un tale tipo di attacco abbia luogo è solitamente il segno di una vulnerabilità dei sistemi, per cui, indipendentemente dalle conseguenze dell’attacco, il Titolare dovrebbe adottare tutte le misure di sicurezza, sia tecniche sia organizzative, atte ad affrontare evenienze di questo tipo.

Tra le misure organizzative, cruciale risulta la formazione dei dipendenti (soprattutto quelli che trattano dati cosiddetti “sensibili”) circa i metodi di riconoscimento e prevenzione degli attacchi informatici, nonché la pianificazione di test di vulnerabilità e penetrazione su base regolare e la creazione – soprattutto nell’ambito di realtà aziendali complesse – di un team dedicato a tali attacchi.

Anche gli attacchi di esfiltrazione, come quelli ransomware, sfruttano le vulnerabilità dei sistemi del Titolare, ma, di solito, mirano a copiare e usare i dati personali per fini illeciti. Anche per evitare tali attacchi vengono consigliate misure tecniche (come sistemi di crittografia e gestione delle chiavi), ed organizzativo, come policy di gestione dei privilegi degli utenti e di controllo degli accessi in atto, nonché verifiche sistematiche della sicurezza IT e valutazioni e test della vulnerabilità.

Il Board si sofferma, inoltre, su tutti quegli accadimenti – volontari e non – causati da comportamenti umani che, nella pratica, portano spesso a violazioni di dati personali, quali ad esempio l’esfiltrazione di dati da parte di un dipendente o l’invio accidentale – tramite e-mail – di dati a soggetti non autorizzati, o la perdita di device e documenti contenenti dati. In tal caso, la misura organizzativa più importante da adottare è costituita dalla programmazione di piani di formazione e sensibilizzazione periodica del personale che opera nella struttura del Titolare; in tale contesto è essenziale l’apporto del DPO eventualmente nominato dal Titolare.

Il personale dovrebbe essere istruito, in particolare, sulle procedure adottate al fine di implementare sistemi solidi ed efficaci di protezione dei dati e della sicurezza dei sistemi. Inoltre, dal punto di vista tecnico, il Titolare dovrebbe considerare e implementare, by design, delle logiche per un corretto uso dei device.

7. Le notifiche di data breach in Italia

Il motivo dell’urgenza da parte delle aziende di arginare il fenomeno della data breach, implementando le previsioni in materia di risk management introdotte dal GDPR è agevolmente spiegabile. Il costante ripetersi di furti di dati e l’incremento della frequenza e/o entità di tali eventi, dimostrano come, stante il crescente valore delle informazioni personali, la prevenzione di tali rischi, attraverso l’adozione da parte del titolare del trattamento di strumenti adeguati e controlli periodici degli stessi, non sempre si dimostri efficiente e sufficiente a scongiurare il verificarsi di violazioni dei dati personali.

Secondo uno studio recente, in Europa, nel periodo gennaio 2020 – gennaio 2021, sono state effettuate, in media, oltre 300 notifiche di violazione dei dati personali al giorno, con un aumento del 19% rispetto al media di notifiche al giorno dell’anno precedente. In Italia, nello stesso periodo, è stato calcolato un totale di circa 3460 notifiche di violazione dei dati personali: un valore minimo se relazionato quello calcolato in Germania, sempre nel medesimo periodo, e pari a 77.747 notifiche di data breach.

Tale dato lascia presumere che in Italia vi sia un’elevata percentuale di società che, anche a causa di una scarsa sensibilità per la materia della data protection, troppo spesso vista soltanto come un mero e oneroso costo per l’azienda, non hanno portato a termine con successo il processo di adeguamento al GDPR e che non sono ancora strutturalmente capaci di rispettare tutti gli obblighi imposti dalla nuova normativa.

Ciò, soprattutto, con riferimento a quegli adempimenti – come la notifica di data breach – che, rispetto ad altri (ad esempio, il rilascio dell’informativa privacy agli interessati e/o la richiesta del consenso al trattamento dei loro dati risultano di più difficile interpretazione e gestione per i titolari del trattamento.

Proprio tali circostanze inducono molte aziende a non notificare le violazioni subite nel timore che l’effettuazione di una notifica possa tradursi nel rischio di subire verifiche e ispezioni da parte del Garante privacy, finalizzate ad acquisire maggiori elementi di valutazione in ordine alla portata, alle cause ed alle conseguenze della violazione stessa e dunque destinate ad evidenziare tutte le mancanze del Titolare nella predisposizione ed attuazione del proprio Modello organizzativo

L’Autorità Garante italiana si è classificata prima in Europa per valore totale delle sanzioni comminate a seguito di data breach (€ 69,328,716) e al terzo posto per valore delle sanzioni individuali.

Avv. Valerio Pandolfini

Consulenza legale d’impresa

Per altri articoli di approfondimento su tematiche attinenti il diritto d’impresa: visitate il nostro blog.

Le informazioni contenute nel presente articolo hanno carattere generale e non sono da considerarsi un esame esaustivo né intendono esprimere un parere o fornire una consulenza di natura legale. Le considerazioni e opinioni di seguito riportate non prescindono dalla necessità di ottenere pareri specifici con riguardo alle singole fattispecie descritte. Di conseguenza, il presente articolo non costituisce un(né può essere altrimenti interpretato quale) parere legale, né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.

Cookie	Durata	Descrizione
_GRECAPTCHA		This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-154928096-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

La violazione di dati personali (Data Breach)

Indice

1. La valutazione d’impatto sulla protezione dei dati

2. La Data Breach

3. La notifica di Data Breach al Garante

4. La comunicazione all’interessato della violazione dei dati personali

5. Le linee guida del WP 29 del 2017 sulla violazione dei dati personali

6. Le linee guida del WP 29 del 2021 sulla violazione dei dati personali

7. Le notifiche di data breach in Italia

Per ulteriori informazioni e per fissare un primo colloquio telefonico o incontro conoscitivo senza impegno, potete:

Chiamarci adesso

Inviarci una mail a

oppure compilare il form