Negli ultimi mesi abbiamo parlato diverse volte di GDPR, il Regolamento generale che regola tutte le attività relative alla Protezione dei Dati Personali, cioè che riguardano una persona fisica (in carne ed ossa!).
In questo articolo, approfondiamo tempistiche e modalità per comunicare una violazione dei dati (in inglese, data breach) all’Autorità di Controllo, il Garante Privacy!
Quando avviene un data breach, il titolare del trattamento è tenuto a valutare la situazione ed inviare una notificazione al Garante. In particolare, la normativa fa riferimento a quelle violazioni di dati che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Tali violazioni vanno segnalate all’Autorità Garante secondo precise tempistiche: il titolare del trattamento deve inviarne notizia entro 72 ore dal momento in cui è venuto a conoscenza del data breach (Regolamento UE n. 679 del 2016).
Quando non viene effettuata la notifica entro 72 ore, al momento dell’invio al Garante, la notifica dovrà essere accompagnata dai motivi del ritardo.
Eccezioni e casi specifici
Nel caso in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (Articolo 33), il titolare può non inviare alcuna notifica al Garante.
Se, al contrario, la violazione comporta un rischio elevato per i diritti delle persone, il titolare dovrà comunicare la notizia anche a tutti gli interessati – utilizzando i canali più idonei – oppure attuare contromisure per ridurre l’impatto del data breach.
Come informare il Garante
Il provvedimento del 30 luglio 2019 è andato ad integrare le informazioni da fornire al Garante in caso di violazioni dei dati personali, che superano le indicazioni fornite in precedenti provvedimenti.
In generale, è importante sapere che:
- la notifica al Garante deve essere effettuata dal titolare del trattamento;
- l’invio deve avvenire mediante i sistemi telematici indicati nel sito istituzionale del Garante*;
- le modalità sono indicate all’articolo 65 del Codice dell’amministrazione digitale (d.lgs. 7 marzo 2005 n. 82).
*Attualmente la notifica del data breach deve essere inviata al Garante tramite posta elettronica certificata. In seguito, sarà disponibile anche una procedura online.
Documentazione dei data breach
A prescindere dalla notifica al Garante, l’Autorità ha sottolineato l’importanza di documentare tutte le violazioni dei dati personali, predisponendo un apposito registro, in modo tale da poter effettuare eventuali verifiche sul rispetto della normativa.
Nella documentazione che il nostro servizio di assistenza aiuta a predisporre, infatti, si trova il registro delle violazioni dei dati che contiene tutti gli eventi, le valutazioni e gli eventuali riferimenti alla notificazione al Garante e, alla comunicazione agli interessati.
Per maggiori dettagli, potete visitare il sito ufficiale del Garante per la Protezione dei Dati Personali alla pagina dedicata: www.gpdp.it/regolamentoue/databreach
Hai dubbi sull’argomento e desideri una consulenza specifica? Chiamaci al numero 011 4337431 o scrivi una mail a info@spazio88.it
Siamo a tua disposizione!
