Frasi come “ nel rispetto dei dati personali” o “il consenso della privacy” oggigiorno sono praticamente ovunque: sui siti web, nelle strutture sanitarie, come gli studi odontoiatrici, in riferimento a quando si firma il consenso cartaceo, in vista di prestazioni necessarie ai pazienti.
Di che cosa si tratta? Precisamente della tutela dei dati personali, ossia di informazioni che identificano o rendono identificabile, in modo diretto o indiretto, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, abitudini, relazioni personali, stato di salute ecc.
Questa protezione avviene grazie al GDPR (General data protection regulation), il regolamento europeo 2016/679 adottato il 27 aprile 2016 e promulgato il 25 maggio 2018: questo è rivolto alle aziende, pubbliche e private, in quanto “titolari del trattamento dei dati”.
Sfortunatamente può succedere che questo regolamento venga violato (si parla di data breach), per via di un attacco hacker o per un incidente, come un furto o un incendio.
Vi sono 3 tipi di violazioni:
- della riservatezza, in caso di divulgazione dei dati personali o accesso a questi senza autorizzazione o in modo accidentale;
- dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali;
- della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati.
In ognuno di questi casi bisogna prima valutare i possibili rischi che potrebbero conseguire alla violazione, in base al tipo di violazione, a quello dei dati in questione, chi e quanti sono gli interessati ecc.
In più, appena il titolare dei dati scopre la violazione deve segnalare alle autorità di controllo, tranne in caso di perdita di dati già pubblici, senza ingiustificato ritardo e, se possibile, entro 72 ore dal momento della scoperta. In caso contrario, dovrà spiegare i motivi del ritardo.
La notifica deve descrivere, secondo l’art. 33 del GDPR: la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; – comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; – descrivere le probabili conseguenze della violazione dei dati personali; – descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Se vi è un responsabile del trattamento, ed è questi che scopre la violazione dei dati personali, deve avvertire subito il titolare.
E ovviamente vi sono delle sanzioni, in base alla gravità del fatto: se le procedure di notifica della violazione non vengono rispettate vi è una sanzione amministrativa fino a 10 milioni di euro o il 2% del fatturato annuo dell’azienda.