Gli incidenti di data breach andrebbero segnalati anche solamente per avere un’opportunità di revisione e miglioramento delle proprie misure di protezione.

“Data breach: l’autodenuncia tempestiva non esonera il titolare del trattamento dalle proprie responsabilità

Nel provvedimento 141 del 9 luglio 2020 il Garante evidenzia come la tempestività del titolare del trattamento nell’effettuare la notificazione di un data breach e l’immediata adozione di misure correttive non esonerano lo stesso da responsabilità per il trattamento illecito di dati personali.

Il fatto – Un istituto ospedaliero notificava al Garante una violazione dei dati personali sanitari di un paziente.

In particolare, circa una settimana prima della notifica l’istituto aveva ricevuto la segnalazione di un paziente, il quale rappresentava di aver trovato nel proprio fascicolo sanitario elettronico i dati sanitari di un altro paziente.

Dall’istruttoria condotta dal Garante emergeva che l’azienda sanitaria, all’esito delle indagini interne avviate subito dopo aver ricevuto la segnalazione e conclusesi dopo circa 5 giorni, aveva preso contezza della violazione ed aveva effettuato la notifica della violazione all’Authority.