L’obiettivo definitivo del Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, è quello d’impedire la « violazione dei dati personali ».
L’articolo 4 del GDPR, definisce tale evento come « la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati ».
La comunicazione della violazione dei dati all’Autorità
In caso di evento negativo, l’articolo 33 del GDPR prevede che « il titolare del trattamento notifica la violazione all’Autorità di controllo […] senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza ».
Unica eccezione a questa prescrizione : quando « sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche ».
Naturalmente se la violazione è avvenuta in relazione ai dati trattati dal responsabile del trattamento, questi ne da notizia immediatamente al titolare, « senza ingiustificato ritardo dopo essere venuto a conoscenza », affinché quest’ultimo possa informarne l’Autorità di controllo.
Oltre alla notizia della violazione dei dati vera e propria, nella comunicazione all’Autorità, « il titolare del trattamento documenta […] le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio ».
La comunicazione della violazione dei dati agli interessati
Contemporaneamente, il titolare del trattamento dei dati personali è tenuto a comunicare « la violazione all’interessato senza ingiustificato ritardo ».
Anche in tal caso sono previste delle deroghe :
- quando, precedentemente alla violazione, i dati personali erano stati resi « incomprensibili » (es.: con la « cifratura » );
- oppure quando il titolare del trattamento ha, successivamente alla violazione, « adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati »;
- infine quando la « comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica ».
Occorre istituire il “Registro interno delle violazioni”
In conclusione, il titolare del trattamento deve prevedere delle procedure per:
- il monitoraggio dei trattamenti e la individuazione delle violazioni dei dati;
- indagare sulle circostanze;
- stendere sempre dei report di tali eventi, indicando gli effetti e i rimedi adottati;
- solo nei casi previsti, provvedere alla notifica all’Autorità e agli interessati.
A tal fine, la guida redatta dall’apposito gruppo di lavoro incoraggia l’istituzione di un « registro interno delle violazioni » [1]. In tale documento, « se una violazione non viene notificata, dovrebbe essere documentata una giustificazione per tale decisione ».
« Per dimostrare la conformità con il GDPR – spiega ancora la guida -, potrebbe anche essere utile dimostrare che i dipendenti sono stati informati dell’esistenza di tali procedure e meccanismi, e che sanno come reagire alle violazioni ».
In ogni caso, per le violazioni dei dati il Responsabile per la protezione dei dati svolgerà un ruolo importante tanto « al momento della notifica di una violazione » quanto « durante qualsiasi successiva indagine da parte dell’Autorità di controllo ».
La mancata “accountability” di tali misure rischia di far soggiacere il titolare del trattamento a sanzioni « effettive, proporzionate e dissuasive ».
–
Fonti e Note:
Credits: Photo by Basil James on Unsplash
[1] WP250, 3 ottobre 2017, scarica le WP250 - Guidelines on Personal data breach notification under Regulation 2016/679 (PDF, EN)
Lascia un commento