Data breach: the reporting form is available online.

The Italian Data Protection Authority has adopted and published on its website a personal data breach reporting form, outlining the information to be necessarily communicated to the Authority, for the purpose of simplifying the correct fulfilment of the administrative obligations imposed on data controllers with reference to any possible data breach pursuant to art. 33 of Regulation (EU) 2016/679 – General Data Protection Regulation (the “GDPR”).

IL FATTO:

Nonostante il Garante abbia avuto modo in passato di intervenire in più occasioni sul tema dei c.d. “data breach”, fornendo di volta in volta specifiche indicazioni in relazione a determinate tipologie di trattamento o categorie di titolari del trattamento (si vedano, a titolo esemplificativo, le linee guida in materia di Dossier sanitario, il provvedimento generale prescrittivo in tema di biometria, nonché il provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie), si è giunti ad una regolamentazione unitaria ed omogenea della materia solo con l’approvazione del GDPR, il quale, all’art. 4, comma 1, n. 12), definisce la violazione dei dati personali come qualsiasi “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Nel nuovo assetto stabilito dal GDPR, ove il titolare riscontri una violazione dei dati, esso è tenuto a notificare tale evento all’Autorità di controllo competente, “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza”, fatto salvo il caso in cui risulti improbabile che la stessa “presenti un rischio per i diritti e le libertà delle persone fisiche”.

A tal proposito, tuttavia, il GDPR si limita a indicare le informazioni indispensabili da inserire nella notifica della violazione, individuando un contenuto “minimo” della stessa. Ma come si declina tale prescrizione nel concreto? Un primo supporto è venuto dal Gruppo di lavoro articolo 29 (oggi European Data Protection Board), che con le Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679 pubblicate nel 2017 (WP 250, rev.1), ha preso in esame l’art. 33, fornendo la propria interpretazione delle informazioni da inserire nella notifica e lasciando all’autonomia del titolare la libertà (e l’onere) di individuare gli ulteriori elementi da esplicitare nella comunicazione all’autorità di controllo, in piena armonia con il principio di responsabilizzazione dei titolari del trattamento di cui all’art. 5.

Recepite tali prescrizioni, è ora intervenuto il Garante per la privacy con il provvedimento n. 157 del 30 luglio 2019, al quale è stato allegato il modello di notifica che tutti i titolari sono tenuti ad utilizzare in sede di comunicazione della violazione all’Autorità, comunicazione che dovrà essere effettuata mediante apposita procedura on-line che verrà prossimamente resa disponibile sul sito istituzionale del Garante. Il modello – le indicazioni contenute nel quale vanno a sostituire, eliminandole, tutte le altre istruzioni fornite in passato dal Garante in materia di data breach – è disponibile qui.

Si ricordi che, in base al GDPR, l’inosservanza degli obblighi concernenti la notifica delle violazioni dei dati personali può comportare l’imposizione di sanzioni pecuniarie da parte della competente autorità di controllo fino a un massimo di 10 milioni di Euro, ovvero – se si tratta di un’impresa – fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame è particolarmente rilevante in quanto rappresenta un utile – se non indispensabile – strumento a favore dei titolari del trattamento per poter adempiere in maniera tempestiva e quanto più possibile corretta ai nuovi obblighi posti in capo ad essi dal GDPR in materia di data breach.

No Comments
Leave a Reply