GARANTE PRIVACY E DATA BREACH: ONLINE LA NUOVA PROCEDURA TELEMATICA

cyber-4084719_1920_2.jpg

Dal 1° luglio sul sito del Garante per la protezione dei dati personali è disponibile una nuova procedura che approfondisce l’argomento della notifica di violazione dei dati personali.

 

Innanzitutto quando si parla di Data Breach o di violazione dei dati personali si identifica una situazione in cui il Titolare del trattamento subisce una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati  o comunque trattati” (definizione tratta dall’art. 4, comma 12 del GDPR). Il concetto di violazione dei dati personali, in generale, si intende sia per dati personali presenti su supporti cartacei sia per dati personali presenti su supporti elettronici o digitali: come si può facilmente capire l’era tecnologica in cui viviamo porta gli individui a preferire sempre di più l’utilizzo di supporti digitali a scapito di quelli cartacei; ma potrebbe comunque capitare di incorrere in una violazione di dati personali che interessi dati cartacei (alcuni esempi pratici potrebbero essere la perdita di un documento cartaceo, la consegna di un fascicolo sanitario all’individuo sbagliato o il furto di documenti cartacei presso la propria sede).

Rispetto a questa tematica l’Autorità Garante era intervenuta un paio di anni fa con il Provvedimento n. 157 del 30 luglio 2019 [doc. web n. 9126951] e con la contestuale pubblicazione sul sito istituzionale di un modello PDF editabile.

Da allora, come viene spiegato nel Provvedimento n. 209 del 27 maggio 2021 [doc. web n. 9667201], sono pervenute all’ufficio del Garante privacy un elevato numero di notifiche di Data Breach che risultavano incomplete. Come conseguenza il Garante privacy ha dovuto richiedere ulteriore documentazione e questo ha rallentato non poco le attività. Questa situazione ha spinto l’Autorità Garante a cercare di migliorare il servizio offerto.

La nuova pagine per la Notifica di una violazione dei dati personali (Data Breach), consultabile al seguente indirizzo https://servizi.gpdp.it/databreach/s/, offre le seguenti opzioni:

1. Compilazione della notifica

Quest'area rappresenta lo strumento principale, ossia la procedura per la notifica di una violazione dei dati.

Questa sezione era già presente sul sito del Garante privacy, ma vediamo di seguito le principali novità introdotte:

2. Informativa sul trattamento dei dati personali

In questa sezione viene messa a disposizione l’informativa sul trattamento dei dati personali relativamente alla compilazione della notifica di violazione dei dati personali. In sostanza l’Autorità Garante informa gli interessati rispetto a questo specifico trattamento di dati personali.

3. Pagina informativa – violazione dei dati personali (data breach)

Questa pagina contiene link sulla normativa di riferimento e su documenti interpretativi, schede informative e pagine tematiche. Può essere vista come la bacheca riguardo al tema della violazione dei dati (data breach) e proprio per questo è in continuo aggiornamento.

4. Autovalutazione per la notifica di una violazione dei dati personali

In questa sezione viene messo a disposizione uno strumento che, mediante alcuni semplici quesiti, consente al Titolare del trattamento dei dati personali di individuare le azioni più corrette da intraprendere a seguito di una violazione dei dati personali.

5. Fac-simile del modello

In quest’area viene messo a disposizione un fac-simile del modello di notifica di violazione dei dati personali (data breach). Come si può intuire dal nome, il fac-simile viene presentato unicamente a titolo dimostrativo e non è assolutamente utilizzabile per l’invio della notifica della violazione: per compilare la notifica vera e propria si deve far riferimento alla sezione 1. Compilazione della notifica.

6. Istruzioni

In questa pagina vengono descritti i flussi e le funzionalità della nuova procedura telematica, attuata a seguito del Provvedimento n.209 del 27 maggio 2021. Nell’introduzione delle istruzioni l’Autorità Garante, a ragion veduta, chiarisce che la procedura telematica costituisce l’unica e ordinaria modalità attraverso cui l’Autorità stessa accoglierà la notifica di violazione dei dati personali (data breach).

Vediamo adesso le principali novità presenti nella sezione Istruzioni:

  1. Relazione intercorrente tra utente e Titolare del trattamento: questo punto introduce la possibilità che la notifica possa essere effettuata, oltre che dal Titolare del trattamento, anche da soggetti che agiscono in nome e per conto del Titolare come il Legale rappresentante o un altro soggetto, chiamato anche utente (previa delega del Legale rappresentante). Di seguito viene poi spiegata la differenza tra utente autenticato e utente non autenticato, sulla quale però non ci soffermeremo in questa sede;
  2. La funzionalità di “Salva in Bozza": questa nuova funzionalità sarà disponibile a breve, solo per gli utenti autenticati e consentirà la compilazione del modulo in fasi successive: in ogni caso il processo dovrà essere completato entro 48 ore dal primo salvataggio: decorso il termine la bozza verrà eliminata e tutti i dati dovranno essere nuovamente inseriti;
  3. I riscontri all’utente e al Titolare: viene qui spiegato quali riscontri l’utente o il Titolare riceveranno al completamento della procedura di notifica. In caso la notifica sia stata effettuata da un utente non autenticato questa potrà essere rigettata per motivi formali e la motivazione verrà comunicata esclusivamente all’utente;
  4. Reminder automatici: nell’ipotesi in cui la notifica sia stata qualificata come “preliminare” o siano state omesse informazioni essenziali ai fini della valutazione la procedura classificherà la notifica come “DA INTEGRARE”. In questo caso il Titolare del trattamento riceverà un messaggio automatico con il quale verrà informato ed esortato a compiere le successive azioni. I messaggi verranno inviati con cadenza periodica fino a che sussisterà la condizione “DA INTEGRARE”.

 

Con questa nuova procedura telematica il Garante per la protezione dei dati personali cerca di fornire ulteriori strumenti a imprese e Pubbliche Amministrazioni nella protezione dei dati personali, oltre alla prevenzione di attacchi informatici, che negli ultimi anni sta aumentando sempre di più.

 

 

 

Tags: GRUPPO ALTEA