Provvedimento del Garante sulla notifica delle violazioni dei dati personali (data breach)

Posted on 12 settembre 2019 by Paola Generali in 2019, News

Il Garante Privacy Italiano, in data 30 Luglio 2019, ha emanato il Provvedimento n. 159 avente ad oggetto la notifica del c.d. “data breach”: il documento illustra le modalita, i termini e il contenuto per una corretta procedura di notifica in caso di violazione dei dati personali.

Il summenzionato Provvedimento si rivolge sia al Titolare e Responsabile del Trattamento (art. 33 GDPR) che alle Autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonchè alla libera circolazione di tali dati (d.lgs. n. 51/2018, art. 26) operando altresì il rinvio all’art. 65 del d.lgs. n 82/2005 relativamente alle modalità telematiche della notifica stessa.

Parte integrante del Provvedimento è il modello allegato che ribadisce in prima battuta, come già espresso dal GDPR all’art. 33, che i Titolari di Trattamento di dati personali sono tenuti a notificare al Garante le violazioni dei dati personali che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell’ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.

L’allegato (pdf direttamente editabile) consente di redigere una descrizione limpida e rigorosa dell’incidente, includendo tutte le informazioni rilevanti e peculiari del caso di specie, tra cui:

  • il tipo di notifica;
  • i dati del Titolare e dei soggetti coinvolti nel trattamento;
  • le informazioni di sintesi sulla violazione, il momento di cognizione del data breach;
  • la natura, causa e descrizione dell’incidente stesso (sia in forma sintetica che estesa);
  • i dati coinvolti, il numero e categorie di soggetti ai quali si riferiscono;
  • le infrastrutture IT violate e le misure di sicurezza adottate;
  • le possibili conseguenze e la gravità della violazione;
  • i possibili effetti negativi sui diritti e libertà dei soggetti interessati;
  • le misure adottate a seguito della violazione e l’eventuale necessità della comunicazione ai soggetti interessati.

In conclusione, il Provvedimento stabilisce che i termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali indicati nel:

  • provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015;
  • nelle linee guida in materia di Dossier sanitario del 4 giugno 2015;
  • nel provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014;
  • nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013;
  • nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011,

si intendono eliminati e sostituiti dalle istruzioni del modello allegato di cui sopra.

Link: https://www.garanteprivacy.it/docweb/9126951

Allegato: https://www.garanteprivacy.it/Modello+notifica+Data+Breach.pdf

Tagged as ,

Posted by Paola Generali

Managing Director Getsolution

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *