Tutela della privacy - Provvedimento e Modello del Garante in tema di notifica delle violazioni dei dati personali (data breach)

L' Autorità Garante della Privacy ha recentemente aggiornato la propria pagina informativa in tema di violazione dei dati personali (data breach), pubblicando il Provvedimento n. 157/2019 che riporta in allegato il modello che i Titolari del trattamento dovranno utilizzare in caso di breach. 

Il Garante per la Tutela dei dati personali ha recentemente aggiornato la propria pagina informativa in tema di violazione dei dati personali (data breach).

E' stato pubblicato il Provvedimento n. 157 del 30 luglio 2019 che, oltre a fornire un modello che può essere utilizzato da parte di tutti i Titolari, indica quali informazioni devono essere contenute nella notifica delle violazioni del trattamento del dato.

I titolari del trattamento sono tenuti a notificare al Garante le violazioni dei dati che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell'ambito delle comunicazioni elettroniche, a meno che sia improbabile che tale violazione presenti un rischio per i diritti e le libertà degli interessati.

Tale notifica deve essere effettuata entro 72 ore dal momento in cui il Titolare è venuto a conoscenza della violazione dei dati personali, a meno che sia improbabile che tale data breach comporti un rischio per i diritti e le libertà delle persone fisiche (v. art. 33 del Regolamento (UE) 2016/679 - GDPR e Linee Guida del Gruppo di Lavoro Articolo 29 per la Protezione dei dati personali del 3.10.2017 Versione emendata e adottata il 6 febbraio 2018).

Vanno notificati i data breach che possono avere "effetti avversi significativi sugli individui" causando danni fisici, materiali o immateriali. L'Autorità evidenzia come la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, una perdita finanziaria, un danno reputazionale e qualsiasi altro significativo svantaggio economico o sociale costituiscono un esempio di violazione del trattamento.

Il titolare del trattamento, a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali predisponendo un apposito registro che potrà consentire all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Fino a quando non sarà disponibile una procedura online, la notifica sarà effettuata tramite posta elettronica (protocollo@pec.gpdp.it), firmata digitalmente (con firma elettronica qualificata o firma digitale) ovvero con firma autografa. In quest'ultimo caso, la notifica deve essere prodotta unitamente alla copia del documento d'identità del firmatario.

Fonte: Confindustria