Notifica Di Violazione Dei Dati Personali: Nuovo Tool Di Autovalutazione
Il Garante per la protezione dei dati personali ha introdotto un nuovo servizio di “autovalutazione” al fine di supportare i titolari del trattamento chiarendo se e in quale caso inviare una notifica di violazione dei dati personali all’autorità di controllo. È possibile usufruire del servizio tramite il seguente indirizzo: https://servizi.gpdp.it/databreach/s/self-assessment.
Il titolare viene guidato nell’assolvimento degli obblighi in materia di “Notifica di una violazione dei dati personali all’autorità di controllo” e di “Comunicazione di una violazione dei dati personali all’interessato”.
Ai sensi dell’art. 33, par. 1, del Regolamento (UE) 2016/679 e art. 26 del D.Lgs 51/2018, “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.
L’Autorità chiarisce a riguardo che il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi e nel caso in cui la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. Nel comunicare una violazione agli interessati si devono utilizzare messaggi dedicati che non devono essere inviati insieme ad altre informazioni, quali newsletter o messaggi standard. Ciò contribuisce a rendere la comunicazione della violazione chiara e trasparente. Le violazioni di dati personali che vanno notificate, spiega il garante, sono quelle che possono avere effetti significativi sugli individui, causando danni fisici, materiali o immateriali.
La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “Notifica Violazione Dati Personali” e opzionalmente la denominazione del titolare del trattamento.
Il titolare del trattamento deve documentare tutte le violazioni dei dati personali che si verificano, indipendentemente dal fatto che una violazione debba o meno essere notificata al Garante.
«Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di verificare il rispetto del presente articolo» (cfr. art. 33, par. 5, del Regolamento (UE) 2016/679 e art. 26 del D. Lgs 51/2018).
L’obbligo del titolare di documentare tutte le violazioni è collegato al principio di responsabilizzazione (cfr. art. 5, par. 2, del Regolamento (UE) 2016/679 e art. 3, comma 4, del D. Lgs 51/2018) e agli obblighi del titolare del trattamento responsabilizzazione (cfr. art. 24 del Regolamento (UE) 2016/679 del Regolamento (UE) 2016/679 e art. 15 del D. Lgs 51/2018).