Il Garante privacy ha introdotto un nuovo modello contenente le informazioni minime necessarie per notificare una violazione di dati personali (data breach).
Ricordando che il data breach è una violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali, che sia accidentale o illecita, riportiamo alcuni esempi delle cause che possono richiedere una comunicazione al Garante:
In questi casi l’obbligo, previsto dal GDPR è quello per cui il Titolare del Trattamento, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Anche il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il Titolare in modo che possa attivarsi.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il Titolare deve comunicarla a tutti gli interessati. Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951). Verrà resa disponibile anche una procedura online, ma per ora la notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente o con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.
L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
Vediamo ora in cosa cambia la notifica rispetto alla precedente.
Dovranno essere compilate 8 sezione differenti:
La modifica arriva dopo un anno di attività del GDPR, l’armonizzazione con il D.Lgs 101/2018, il periodo di proroga dell’applicazione (ora concluso) e più di 64mila notifiche di data breach, in un periodo in cui (si vedano comunicati Garante su Facebook, sull’hackeraggio delle PEC degli Avvocati e sugli impegni al controllo ispettivo) le Autorità Garanti stanno provvedendo ad emettere sanzioni per inadempimenti. Per ora si è concentrato sulle grandi aziende ma, come vedrete sotto, non ha mai finito di controllare anche quelle più piccole.
Solo in Italia, fino al 30 giugno 2019 (un anno di attività) ci sono state 1254 notifiche di violazione, erano 630 a fine 2018, un trend costante che indica come le aziende stiano subendo continuamente e costantemente attacchi e debbano quindi premurarsi di contrastarli, riportiamo inoltre alcune sanzioni comminate ad aziende italiane per far comprendere come il controllo non sia una “cosa che capita ad altri” ma una cosa che viene fatta metodicamente e che quindi deve trovarci preparati:
Inoltre il Garante sta mettendo a disposizione delle imprese un software per l’autovalutazione, come indicato in questo articolo.
Diciamo che quindi le attività sono molteplici e per stare dietro alla continua evoluzione del “cantiere privacy” converrebbe affidarsi a gente che si mantiene aggiornata “perché è il suo lavoro”, senza affidarsi a soluzioni fai da te o improvvisate.
D’altronde: questo è il nostro sforzo per fornirvi sempre un servizio migliore
Stefano Pedroni
Nessun Commento