GARANTE PRIVACY E DATA BREACH: ONLINE LA NUOVA PROCEDURA TELEMATICA

cyber-4084719_1920_2.jpg

Dal 1° luglio sul sito del Garante per la protezione dei dati personali è disponibile una nuova procedura che approfondisce l’argomento della notifica di violazione dei dati personali.

 

Innanzitutto quando si parla di Data Breach o di violazione dei dati personali si identifica una situazione in cui il Titolare del trattamento subisce una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati  o comunque trattati” (definizione tratta dall’art. 4, comma 12 del GDPR). Il concetto di violazione dei dati personali, in generale, si intende sia per dati personali presenti su supporti cartacei sia per dati personali presenti su supporti elettronici o digitali: come si può facilmente capire l’era tecnologica in cui viviamo porta gli individui a preferire sempre di più l’utilizzo di supporti digitali a scapito di quelli cartacei; ma potrebbe comunque capitare di incorrere in una violazione di dati personali che interessi dati cartacei (alcuni esempi pratici potrebbero essere la perdita di un documento cartaceo, la consegna di un fascicolo sanitario all’individuo sbagliato o il furto di documenti cartacei presso la propria sede).

Rispetto a questa tematica l’Autorità Garante era intervenuta un paio di anni fa con il Provvedimento n. 157 del 30 luglio 2019 [doc. web n. 9126951] e con la contestuale pubblicazione sul sito istituzionale di un modello PDF editabile.

Da allora, come viene spiegato nel Provvedimento n. 209 del 27 maggio 2021 [doc. web n. 9667201], sono pervenute all’ufficio del Garante privacy un elevato numero di notifiche di Data Breach che risultavano incomplete. Come conseguenza il Garante privacy ha dovuto richiedere ulteriore documentazione e questo ha rallentato non poco le attività. Questa situazione ha spinto l’Autorità Garante a cercare di migliorare il servizio offerto.

La nuova pagine per la Notifica di una violazione dei dati personali (Data Breach), consultabile al seguente indirizzo https://servizi.gpdp.it/databreach/s/, offre le seguenti opzioni:

  • Compilazione della notifica
  • Informativa sul trattamento dei dati personali
  • Pagina informativa – violazione dei dati personali (data breach)
  • Autovalutazione per la notifica di una violazione dei dati personali
  • Fac-simile del modello
  • Istruzioni

1. Compilazione della notifica

Quest'area rappresenta lo strumento principale, ossia la procedura per la notifica di una violazione dei dati.

Questa sezione era già presente sul sito del Garante privacy, ma vediamo di seguito le principali novità introdotte:

  • Possibilità di accedere al sistema, compilare e inviare la notifica sia a utenti autenticati (ossia in possesso di CIE 3.0 o SPID) sia a utenti non autenticati: questi ultimi dopo la compilazione del modulo riceveranno una e-mail con le istruzioni per completare la procedura. Su questo punto l’Autorità Garante specifica che la procedura di notifica sarà perfezionata solo dopo aver firmato digitalmente (ossia in formato CAdES-BASELINE-B, estensione p7m) il file e averlo caricato dove indicato;
  • Possibilità per una persona fisica di effettuare la notifica in nome e per conto del Titolare del trattamento (questo può essere il Legale rappresentante oppure un soggetto che viene identificato come utente agirà su delega del Rappresentante legale del Titolare del trattamento);
  • Possibilità di integrare una precedente notifica (inserendo il n. di fascicolo);
  • Richiesta di censimento o meno del Titolare del trattamento nell’Indice nazionale dei domicili digitali delle imprese e dei professionisti (INI-PEC www.inipec.gov.it - art. 6-bis Codice Amministrazione Digitale - D.Lgs. n. 82/2005) o nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi (IPA www.indicepa.gov.it - art. 6-ter Codice Amministrazione Digitale - D.Lgs. n. 82/2005);
  • Possibilità di indicare i dati di contatto del DPO (in questo caso verrà richiesto il numero di protocollo assegnato durante la comunicazioni effettuata all’Autorità Garante) o di un soggetto presso cui reperire più informazioni riguardo alla violazione dei dati personali;
  • Richiesta di informazioni approfondite circa le modalità attraverso il quale il Titolare è venuto a conoscenza della violazione: in questo caso sono presenti diverse opzioni tra cui scegliere la più adatta;
  • Predisposizione di un campo di testo per descrivere sistemi, software, servizi e infrastrutture coinvolti nella violazione, con indicazioni della loro ubicazione fisica;
  • Richiesta di una descrizione delle misure tecniche e organizzative presenti al momento della violazione;
  • Possibilità di allegare documenti integrativi per approfondire la notifica di violazione dei dati, durante le varie fasi della compilazione della procedura;
  • Possibilità di approfondire la valutazione del rischio per gli interessati (viene richiesto di specificare se la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche. Il Garante privacy richiede anche di motivare l’opzione selezionata, fornendo una descrizione basata su “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017); è inoltre prevista una sezione relativa a violazioni transfrontaliere o trattamenti svolti da un Titolare esterno allo Spazio Economico Europeo;
  • Implementazione dell’invio al Titolare del trattamento di messaggi automatici che lo informano sulle azioni successive che dovrà compiere per completare la procedura.

2. Informativa sul trattamento dei dati personali

In questa sezione viene messa a disposizione l’informativa sul trattamento dei dati personali relativamente alla compilazione della notifica di violazione dei dati personali. In sostanza l’Autorità Garante informa gli interessati rispetto a questo specifico trattamento di dati personali.

3. Pagina informativa – violazione dei dati personali (data breach)

Questa pagina contiene link sulla normativa di riferimento e su documenti interpretativi, schede informative e pagine tematiche. Può essere vista come la bacheca riguardo al tema della violazione dei dati (data breach) e proprio per questo è in continuo aggiornamento.

4. Autovalutazione per la notifica di una violazione dei dati personali

In questa sezione viene messo a disposizione uno strumento che, mediante alcuni semplici quesiti, consente al Titolare del trattamento dei dati personali di individuare le azioni più corrette da intraprendere a seguito di una violazione dei dati personali.

5. Fac-simile del modello

In quest’area viene messo a disposizione un fac-simile del modello di notifica di violazione dei dati personali (data breach). Come si può intuire dal nome, il fac-simile viene presentato unicamente a titolo dimostrativo e non è assolutamente utilizzabile per l’invio della notifica della violazione: per compilare la notifica vera e propria si deve far riferimento alla sezione 1. Compilazione della notifica.

6. Istruzioni

In questa pagina vengono descritti i flussi e le funzionalità della nuova procedura telematica, attuata a seguito del Provvedimento n.209 del 27 maggio 2021. Nell’introduzione delle istruzioni l’Autorità Garante, a ragion veduta, chiarisce che la procedura telematica costituisce l’unica e ordinaria modalità attraverso cui l’Autorità stessa accoglierà la notifica di violazione dei dati personali (data breach).

Vediamo adesso le principali novità presenti nella sezione Istruzioni:

  1. Relazione intercorrente tra utente e Titolare del trattamento: questo punto introduce la possibilità che la notifica possa essere effettuata, oltre che dal Titolare del trattamento, anche da soggetti che agiscono in nome e per conto del Titolare come il Legale rappresentante o un altro soggetto, chiamato anche utente (previa delega del Legale rappresentante). Di seguito viene poi spiegata la differenza tra utente autenticato e utente non autenticato, sulla quale però non ci soffermeremo in questa sede;
  2. La funzionalità di “Salva in Bozza": questa nuova funzionalità sarà disponibile a breve, solo per gli utenti autenticati e consentirà la compilazione del modulo in fasi successive: in ogni caso il processo dovrà essere completato entro 48 ore dal primo salvataggio: decorso il termine la bozza verrà eliminata e tutti i dati dovranno essere nuovamente inseriti;
  3. I riscontri all’utente e al Titolare: viene qui spiegato quali riscontri l’utente o il Titolare riceveranno al completamento della procedura di notifica. In caso la notifica sia stata effettuata da un utente non autenticato questa potrà essere rigettata per motivi formali e la motivazione verrà comunicata esclusivamente all’utente;
  4. Reminder automatici: nell’ipotesi in cui la notifica sia stata qualificata come “preliminare” o siano state omesse informazioni essenziali ai fini della valutazione la procedura classificherà la notifica come “DA INTEGRARE”. In questo caso il Titolare del trattamento riceverà un messaggio automatico con il quale verrà informato ed esortato a compiere le successive azioni. I messaggi verranno inviati con cadenza periodica fino a che sussisterà la condizione “DA INTEGRARE”.

 

Con questa nuova procedura telematica il Garante per la protezione dei dati personali cerca di fornire ulteriori strumenti a imprese e Pubbliche Amministrazioni nella protezione dei dati personali, oltre alla prevenzione di attacchi informatici, che negli ultimi anni sta aumentando sempre di più.

 

 

 

Tags: GRUPPO ALTEA

Copyright © 2018 GRUPPO ALTEA - Tutti i diritti riservati - Credits

Privacy Policy Cookie Policy