VG21.0056  01/15/2021Privacy: Data Breach e obblighi di notifica all'Autorità e di comunicazione agli interessati canale: Diritto d'impresa |
|
Il Garante per la protezione dei dati personali ha recentemente reso disponibile un servizio per agevolare gli adempimenti relativi ai data breach. |
|
Approfondimenti
Il Garante privacy ha reso disponibile sul proprio sito web un nuovo servizio per supportare i titolari del trattamento negli adempimenti previsti in caso di violazione di dati personali (Data Breach). In particolare, tramite il servizio il titolare del trattamento potrà effettuare una procedura di auto-valutazione (self assessment) utile a valutare presupposti e condizioni di sussistenza degli obblighi di notifica della violazione all'autorità di controllo e di comunicazione all'interessato (1) La definizione di Data Breach Per violazione di dati personali (o Data Breach) si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (2). L’obbligo di notifica all’Autorità Garante Qualora il titolare del trattamento ritenga, a seguito della propria valutazione, che dalla violazione possa derivare un rischio per i diritti e le libertà delle persone fisiche coinvolte, egli deve effettuare la notifica al Garante entro, ove possibile, 72 ore dal momento in cui ne è venuto a conoscenza. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, essa va corredata dei motivi del ritardo. Anche l’eventuale Responsabile del trattamento, venuto a conoscenza del data breach, deve informare senza ritardo il titolare. Il titolare comunque potrà, sotto la propria responsabilità, decidere di non effettuare la notifica qualora ritenga che la violazione non comporti un rischio elevato per i diritti e le libertà degli interessati. La notifica deve contenere almeno le seguenti informazioni: a) descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) il nome e i dati di contatto dell’eventuale responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrizione delle probabili conseguenze della violazione dei dati personali; d) descrizione delle misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Qualora non sia possibile fornire tutte le informazioni contestualmente, è possibile comunicarle in fasi successive senza ulteriore ingiustificato ritardo (3) in quanto il titolare può avere la necessità di effettuare ulteriori indagini e accertamenti per tutte le valutazioni del caso. L’obbligo di comunicazione agli interessati Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto anche a comunicare la violazione all'interessato senza ingiustificato ritardo. Il Regolamento prevede una serie di ipotesi in cui la comunicazione può non essere effettuata: • il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati violati (es cifratura); • il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; • detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede da una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. La comunicazione all’interessato deve contenere almeno le informazioni di cui alle lettere b) c) e d) della notifica, descrivendo “con un linguaggio semplice e chiaro” la natura della violazione. Ulteriori obblighi documentali Il titolare deve infine documentare ogni violazione di dati descrivendone le circostanze, le conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione deve essere messa a disposizione del Garante. E’ pertanto raccomandato di mantenere un registro dei “data breach”, anche di quelli che, dopo le opportune valutazioni, non sono stati oggetto di notifica. Sanzioni L’inosservanza degli obblighi di notifica e comunicazione è punita con la sanzione amministrativa pecuniaria sino a 10 milioni di euro, o per le imprese, sino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Note (1) Previsti dagli articoli 33 e 34 del Regolamento UE n. 679/2016 (GDPR). (2) Art.4, punto 12, del GDPR. (3) Art. 33, par. 4, del GDPR. |
|
Per informazioni Elisa Ambrosi Massimiliano Ciarrocchi Via degli Arcadi, 7, Via degli Arcadi, 7 tel. 0481 33101 int. 350, 0481 33101 int. 314 fax 0481 532204, 0481 532204 mail e.ambrosi@confindustriaaltoadriatico.it, m.ciarrocchi@confindustriaaltoadriatico.it |