Il Garante della Privacy mette a disposizione un nuovo tool di autovalutazione che aiuta a determinare se e in quale caso inviare una notifica di violazione dei dati personali. Il tool e’ raggiungibile al seguente URL: https://servizi.gpdp.it/databreach/s/self-assessment.
NOTIFICARE LA VIOLAZIONE AL GARANTE
«In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo» (cfr. art. 33, par. 1, del Regolamento (UE) 2016/679 e art. 26 del D.Lgs 51/2018).
Le Linee guida sulla Notifica delle violazioni chiariscono che il titolare del trattamento può considerarsi «a conoscenza della violazione» nel momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha comportato la compromissione di dati personali.
Il titolare dovrebbe predisporre «misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato» (cfr. considerando 87 del Regolamento).
CONTENUTO DELLA NOTIFICA
La notifica deve contenere le informazioni previste all’art. 33, par. 3, del Regolamento (UE) 2016/679 e indicate nell’allegato al provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).
La notifica deve almeno:
– descrivere la natura della violazione occorsa compresi, ove possibile, le categorie e il numero approssimativo di interessati nonché le categorie e il numero approssimativo di registrazioni dei dati personali;
– comunicare il nome e dati di contatto del RPD o di altro punto di contatto presso cui ottenere più informazioni;
– descrivere le probabili conseguenze della violazione dei dati personali;
– descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e anche, se del caso, per attenuare i possibili effetti negativi per gli interessati,
NOTIFICA PER FASI
«Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo» (cfr. art. 33Apertura sito esterno in una nuova scheda per l’articolo 33, par. 4, del Regolamento (UE) 2016/679).
In tal caso il titolare, al momento della notifica, deve indicare che si tratta di una notifica preliminare, impegnandosi a comunicare tutte le informazioni e i dettagli circa la violazione occorsa non appena disponibili e senza ingiustificato ritardo, attraverso una notifica integrativa.
COME INVIARE LA NOTIFICA
La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it *** oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.
L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
COMUNICARE LA VIOLAZIONE AGLI INTERESSATI COINVOLTI
«Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo» (cfr. art. 34, par. 1, del Regolamento (UE) 2016/679 e art. 27 del D.Lgs 51/2018).
La comunicazione di una violazione agli interessati dovrebbe avvenire “senza ingiustificato ritardo”, in quanto l’obiettivo principale della stessa consiste nel fornire agli stessi interessati informazioni specifiche sulle misure che questi possono prendere per proteggersi.
A seconda della natura della violazione e del rischio presentato, la tempestività della comunicazione aiuterà le persone (interessati) a prendere provvedimenti per proteggersi da eventuali conseguenze negative della violazione.
LA COMUNICAZIONE AGLI INTERESSATI
La comunicazione agli interessati coinvolti deve fornire «con un linguaggio semplice e chiaro»(cfr. art. 34, par. 2, del Regolamento (UE) 2016/679 e art. 27 del D.Lgs 51/2018):
– una descrizione della natura della violazione;
– il nome e dati di contatto del responsabile della protezione dei dati (RPD) o di altro punto di contatto presso cui ottenere più informazioni;
– una descrizione delle probabili conseguenze della violazione dei dati personali;
– una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e anche, se del caso, per attenuare i possibili effetti negativi per gli interessati.
Inoltre, il titolare del trattamento dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione. Ad esempio:
– in caso di compromissione delle credenziali di accesso, il titolare dovrebbe fornire anche la raccomandazione di non utilizzare più la password compromessa né una simile nonché di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione;
– in caso di compromissione di dati relativi a conti correnti bancari o strumenti di pagamento (quali carte di credito o debito), il titolare dovrebbe fornire la raccomandazione di monitorare le movimentazioni economiche e/o richiedere supporto al proprio istituto bancario/finanziario.
COME CONTATTARE L’INTERESSATO
La violazione dovrebbe essere comunicata direttamente agli interessati coinvolti (ad esempio mediante messaggi di posta elettronica, SMS, comunicazione postale), a meno che ciò richieda uno sforzo sproporzionato. In tal caso, si procede a una comunicazione pubblica o a una misura simile (ad esempio banner o notifiche su siti web di primo piano, pubblicità di rilievo sulla stampa) che permetta di informare gli interessati con analoga efficacia (cfr. art. 34 par. 3, lett. c), del Regolamento (UE) 2016/679).
Nel comunicare una violazione agli interessati si devono utilizzare messaggi dedicati che non devono essere inviati insieme ad altre informazioni, quali newsletter o messaggi standard. Ciò contribuisce a rendere la comunicazione della violazione chiara e trasparente.
DOCUMENTARE LA VIOLAZIONE
Il titolare del trattamento deve documentare tutte le violazioni dei dati personali che si verificano, indipendentemente dal fatto che una violazione debba o meno essere notificata al Garante.
«Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di verificare il rispetto del presente articolo» (cfr. art. 33, par. 5, del Regolamento (UE) 2016/679 e art. 26 del D.Lgs 51/2018).
L’obbligo del titolare di documentare tutte le violazioni è collegato al principio di responsabilizzazione (cfr. art. 5, par. 2, del Regolamento (UE) 2016/679 e art. 3, comma 4, del D.Lgs 51/2018) e agli obblighi del titolare del trattamento responsabilizzazione (cfr. art. 24 del Regolamento (UE) 2016/679 del Regolamento (UE) 2016/679 e art. 15 del D.Lgs 51/2018).
Il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni occorse – notificate o meno – e il Garante può chiedere di consultare tale registro.
Oltre ad informazioni quali cause, fatti, dati personali, effetti e conseguenze della violazione, le Linee guida Notifica violazioni raccomandano di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione, come, ad esempio, il perché una determinata violazione non è stata notificata al Garante.
Dott. Igino Addari
DPO
Fonte: Garante Privacy
