Il Garante per la protezione dei dati personali, con provvedimento n. 157 del 30 luglio scorso, pubblicato sul sito dell’Autorità, ha stabilito che i soggetti tenuti alla notifica delle violazioni dei dati personali (Data Breach), nell’adempiere l’obbligo di cui all’art. 33 del Regolamento 679/2016, devono fornire tutte le informazioni contenute nel modello di notifica predisposto e allegato al provvedimento
L’Autorità precisa che l’obbligo di notificare sussiste per tutte le violazioni dei dati personali (data breach) che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell’ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati. La notifica non può, però, includere i dati personali oggetto di violazione; non devono, ad esempio, essere fornite informazioni sui nomi dei soggetti interessati dalla violazione.
Il modello predisposto è particolarmente dettagliato e richiede, in più punti, la descrizione della violazione. Nella Sez. C vengono, infatti, richieste informazioni di sintesi sulla violazione, quali ad esempio la natura, la causa e le categorie dei dati oggetto di violazione; mentre nella Sez. D sono richieste informazioni di dettaglio sull’incidente di sicurezza alla base della violazione, sulla descrizione delle categorie di dati personali oggetto della violazione, nonché sui sistemi e sull’infrastruttura IT coinvolta nell’incidente etc.
Vengono, inoltre, richiesti i dati del soggetto che effettua la notifica, i dati del titolare del trattamento, la data della violazione o di quando il titolare del trattamento è venuto a conoscenza della violazione, i dati di contatto per le informazioni relative alla violazione, se vi sono ulteriori soggetti coinvolti nel trattamento, le possibili conseguenze e gravità della violazione, nonché le misure adottate a seguito della violazione e l’eventuale comunicazione agli interessati etc.
L’Autorità, lo scorso 5 agosto, per agevolare la comprensione della violazione dei dati personali, ha pubblicato sul proprio sito una scheda informativa, in cui vengono forniti esempi di casi che possono ricadere nella violazione dei dati (Data Breach)
L’accesso, l’acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, la deliberata alterazione di dati personali, l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus etc, la perdita la distruzione di dati personali a causa di incidenti, eventi avversi, la divulgazione non autorizzata dei dati personali, sono tutti casi riportati dal Garante come esempio di violazione dei dati.
In caso di violazione dei dati il titolare del trattamento, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante a meno che non sia improbabile che la violazione dei dati comporti un rischio per i diritti e le libertà delle persone fisiche. Il regolamento, tuttavia, contempla la possibilità di procedere alla notifica oltre il suddetto termine, purchè vi sia un motivo che giustifichi il ritardo. Il titolare del trattamento, a prescindere dalla notifica, deve documentare tutte le violazioni dei dati personali, predisponendo ad esempio un apposito registro.
Nel chiarire la tipologia di violazione dei dati che devono essere notificate, il Garante precisa che vanno notificate unicamente le violazioni dei dati personali che possono avere effetti negativi sugli individui causando danni fisici, materiali e immateriali. Tra gli esempi forniti il Garante richiama la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
La notifica deve essere, poi, inviata al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa, presentata unitamente alla copia del documento d’identità del firmatario. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
Infine, nel caso in cui sia stata rilevata una violazione delle disposizioni del Regolamento stesso, l’Autorità può prescrivere misure correttive (art. 58, paragrafo 2, del Regolamento UE 2016/679). Nel documento informativo il Garante ricorda che il Regolamento comunitario contempla sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo.