I provvedimenti adottati dal Garante della Privacy
La “Data breach notification” non è, comunque, per il nostro paese, una novità assoluta. Infatti, negli ultimi anni, attraverso una serie di provvedimenti adottati dal Garante della Privacy, è stato introdotto, in determinati settori, l’obbligo di comunicare al Garante stesso le eventuali violazioni di dati personali e, in taluni casi, di comunicarlo anche ai soggetti interessati. Questo riguardo le “società telefoniche” e gli “internet provider” (Provvedimento del Garante n. 161 del 4 aprile 2013), riguardo il tema della “Biometria” (Provvedimento del Garante n. 513 del 12 novembre 2014), il tema del “Dossier Sanitario Elettronico” (Provvedimento del Garante n. 331 del 4 giugno 2015) ed infine riguardo le “pubbliche amministrazioni” (Provvedimento del Garante n. 392 del 2 luglio 2015). Circa il dossier sanitario elettronico, entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante tutte le violazioni dei dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario. Le comunicazioni vanno redatte secondo lo schema riportato nell’allegato B del provvedimento n. 331 del 4.06.2015 (1) ed inviate tramite posta elettronica o posta elettronica certificata (PEC) all’indirizzo: databreach.dossier@ pec.gpdp.it. Sulle pubbliche amministrazioni – intendendo quelle di cui all’art. 1, comma 2, del d.lgs. 20 marzo 2001, n. 165 (2) – incombe, a loro volta, l’obbligo di comunicare al Garante, entro 48 ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali contenuti nelle proprie banche dati. Le comunicazioni vanno redatte secondo lo schema riportato nell’allegato 1 del provvedimento n. 392 del 2 luglio 2015 (3) ed inviate tramite posta elettronica o posta elettronica certificata (PEC) all’indirizzo: databreach.pa@pec.gpdp.it.
Il presente contributo è tratto da
Note
(1) Allegato B al Provvedimento del Garante per la Protezione dei dati personali del 4 giugno 2015 ”Linee Guida in materia di dossier sanitario”, scaricabile sul sito del Garante alla pagina http://194.242.234.211/documents/10160/0/Linee+guida
(2) “… tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane. e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale”.
(3) Allegato 1 al Provvedimento del Garante per la protezione dei dati personali del 2 luglio 2015 “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche”, scaricabile sul sito del Garante alla pagina: http://194.242.234.211/documents/10160/0/Allegato+1+Modello+segnalazione+data+breach+PA.p+in+materia+di+dossier+sanitario+-+Allegato+B.pdf.
Scrivi un commento
Accedi per poter inserire un commento