Data Breach: il Garante lancia un nuovo servizio online

COME PROCEDERE AL SELF ASSESSMENT

E’ operativo da oggi il nuovo servizio del Garante per supportare i titolari del trattamento negli adempimenti previsti in caso di Data Breach (violazioni dei dati personali).

Da qui gli utenti potranno accedere al modello di notifica al Garante e alla procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di Notifica di una violazione dei dati personali all’autorità di controllo e di Comunicazione di una violazione dei dati personali all’interessato.

COME FUNZIONA IL SELF ASSESSMENT?

Mediante alcuni semplici quesiti, il titolare viene guidato nell’assolvimento degli obblighi in materia di «Notifica di una violazione dei dati personali all’autorità di controllo» (art. 33Apertura sito esterno in una nuova scheda per l’articolo 33 del Regolamento (UE) 2016/679 del Regolamento (UE) 2016/679 o art. 26 del D.Lgs. 51/2018) e di «Comunicazione di una violazione dei dati personali all’interessato» (art. 34Apertura sito esterno in una nuova scheda per l’articolo 34 del Regolamento (UE) 2016/679 del Regolamento (UE) 2016/679 o art. 27 del D.Lgs. 51/2018). Questo strumento è da considerarsi esclusivamente quale ausilio al processo decisionale del titolare del trattamento e non rappresenta il pronunciamento di questa Autorità sull’applicazione del Regolamento (UE) 2016/679 o del D.Lgs. 51/2018.

Le informazioni fornite durante il suo utilizzo non saranno conservate.

IL SELF ASSESSMENT È UNA PROCEDURA DI RAPIDA INTUIZIONE CHE È STATA CREATA PER AIUTARE I TITOLARI DEL TRATTAMENTO/ RESPONSABILI NELLA GESTIONE DI EVENTI DI DUBBIA NOTIFICA AL GARANTE.

LA PROCEDURA È CREATA A STEP, AD OGNI PASSAGGIO VENGONO DATE DELLE INFORMAZIONI E SUGGERIMENTI PER COMPRENDERE MAGGIORMENTE L’ENTITÁ DELL’EVENTO ACCADUTO.

SE I REQUISITI DEL DATA BREACH SONO TALI DA NECESSITARE NOTIFICA AL GARANTE, LA PROCEDURA TI GUIDERA’ FINO ALLA COMPILAZIONE DEL MODELLO DI DENUNCIA AL GARANTE, SE INVECE I REQUISITI SONO TALI DA NON NECESSITARE NOTIFICA LA PROCEDURA TERMINERÁ E TI SARÁ NOTIFICATO L’ESITO DI NON NECESSARIA NOTIFICA AL GARANTE.

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. 

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

Alcuni possibili esempi: 

• L’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
• Il furto o la perdita di dispositivi informatici contenenti dati personali;
• La deliberata alterazione di dati personali;
• L’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
• La perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
• La divulgazione non autorizzata dei dati personali.

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. 

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. 

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali. 

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

COME INVIARE LA NOTIFICA AL GARANTE?

La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

Per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante ha ideato e messo disposizione un apposito strumento di autovalutazione (self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.

LE AZIONI DEL GARANTE

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale. 

FONTE ARTICOLO: Garante per la protezione dei dati personali