Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Novità per la notifica data breach: il Garante mette a disposizione un tool di self assessment

Lo scorso 23 dicembre il Garante ha messo a disposizione dei cittadini (https://servizi.gpdp.it/databreach/s/) un nuovo strumento per la gestione degli adempimenti correlati alla gestione delle violazioni privacy.

Vediamo di cosa si tratta.

Con il termine data breach intendiamo una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Non si tratta di semplici casi di scuola: anche il furto di documentazione cartacea costituisce una violazione di dati personali!

L’art. 33 GDPR dispone che: “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.

Il successivo articolo 34 prevede, inoltre, un ulteriore notifica diretta agli interessati coinvolti, ove ci sia un rischio elevato per i loro diritti e libertà.

In poche parole, la notifica è obbligatoria quando sia stato riscontrato un rischio, attuale e concreto, per i diritti e le libertà delle persone fisiche coinvolte.

Tutto ciò impone al Titolare del trattamento una valutazione obbligatoria sulla gravità della violazione, ed i suoi possibili impatti.

Il Garante, per agevolare le operazioni precedentemente descritte, ha realizzato una procedura di autovalutazione preliminare ad un’eventuale notifica. L’esigenza nasce dall’ampio margine operativo lasciato ai Titolari del trattamento nei casi di comunicazione obbligatoria al Garante.

Non tutti i Titolari del trattamento, infatti, sono dotati al proprio interno delle competenze necessarie per valutare efficacemente la portata di una violazione, e le sue conseguenze.

Inoltre, saranno sempre necessarie due analisi specifiche: la prima sulla necessità della notifica al Garante (ove sia presente un rischio per gli interessati), ed una seconda sull’ulteriore comunicazione da effettuare agli interessati (ove sia presente una grave rischio per i loro diritti e libertà).

Precedentemente, era stato già predisposto un modello di notifica da compilare. Ora sarà possibile valutare la gravità del databreach con un questionario mirato.

Gli Utenti vengono, così, indirizzati, passo dopo passo, verso la scelta di notificare, o meno, la violazione subita. Ogni passaggio è corredato da ampie sezioni illustrative che aiutano i cittadini meno esperti a comprendere la portata degli obblighi normativi.

Non sono stati tralasciati ampi riferimenti alle Line Guida fornite dalla stessa Autorità, o dall’EDPB (European Data Protection Board) e vari documenti di approfondimento.

Concludendo, ricordiamo che anche il mancato rispetto degli artt. 33 e 34 comporta l’applicazione delle sanzioni previste dal Regolamento.