Blog

notifica.jpg

GDPR: La notifica di violazione

Sappiamo ormai che il GDPR ha posto al centro di tutto il suo regolamento la protezione dei dati personali degli utenti, sia per come vengono trattati dalle aziende, sia nel caso di violazioni dei sistemi sicurezza aziendali in maniera accidentale o in modo illecito, il così detto DATA BREACH. Tale violazione illecita comprende la distribuzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il Regolamento ha voluto focalizzarsi anche sulle regole d’intervento nel caso in cui l’azienda subisca una violazione dei propri sistemi di sicurezza. Secondo il GDPR, la notifica di eventuali violazioni di dati dovrà avvenire, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si è venuto a conoscenza della violazione.

L’obbligo di notifica

Secondo l’articolo 33 del GDPR, il Titolare del Trattamento deve notificare la violazione all’Autorità di controllo (DPO) competente a norma dell’art. 55 GDPR, ovvero all’Autorità di controllo dello stabilimento principale o dello stabilimento unico del Titolare interessato dalla violazione. La notifica deve presentare un contenuto minimo d’informazioni specificatamente indicate dal Regolamento e tali da consentire all’Autorità di controllo di verificare il rispetto della normativa da parte del titolare. Analogamente, la comunicazione all’interessato, normata dall’art.34, deve indicare almeno la natura della violazione, i dati di contatto del DPO, le conseguenze della violazione, nonché le misure adottate o di cui il titolare propone l’adozione per porre rimedio alla violazione.

Come dev’essere la notifica di Data Breach

Le informazioni minime da inserire nella notifica di violazione sono incluse nell’art. 33 e la DPA competente fornirà una modulistica on line.

La notifica deve:

  • Descrivere la natura della violazione dei dati personali compresi le categorie e il numero approssimativo d’interessati in questione;
  • Descrivere le probabili conseguenze della suddetta violazione;
  • Comunicare il nome ei dati di contatto del responsabile della protezione dei dati;
  • Descrivere le misure adottate da parte del Titolare del trattamento, o che si propone di adottare per porre rimedio alla violazione.

Tuttavia, né la notifica all’autorità di controllo né la comunicazione all’interessato sono sempre e comunque obbligatorie: il titolare deve procedervi soltanto se la violazione rappresenti un rischio elevato per i diritti e le libertà dei soggetti. È il titolare a dover valutare in primis il grado di rischio sulla base del contesto in cui la violazione è avvenuta e, quindi, tenendo in considerazione la natura dei dati oggetto di trattamento, la finalità del trattamento.



Pubblicato da Riccardo Brambilla in data 10/07/2018