Data Breach notification

Redazione 30/10/18
In caso di violazione dei dati personali, l’art. 33 prescrive al titolare del trattamento di notificare la violazione all’autorità di controllo (che, nel nostro Paese, è il “Garante per la protezione dei dati personali”) senza ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e la libertà delle persone fisiche. La notifica deve contenere una serie di informazioni quali, ad esempio la descrizione della natura della violazione e, se possibile, il numero degli interessati, le probabili conseguenze della violazione, la descrizione delle misure adottate o da adottare per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi. La notifica effettuata tardivamente va corredata dei motivi del ritardo. È prevista, dall’art. 34, anche la necessità di darne comunicazione, senza ritardo, direttamente allo stesso interessato quando la violazione è suscettibile di presentare un “rischio elevato” per i diritti e le libertà delle persone fisiche. La comunicazione all’interessato non è però sempre richiesta. Non lo è se: a) il titolare del trattamento ha messo in atto misure tecniche e organizzative adeguate di protezione applicate ai dati oggetto di violazione, in particolare quelle destinate a rendere i dati personali incomprensibili ai non autorizzati, quali al cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un “rischio elevato” per i diritti e le libertà degli interessati; c) se la comunicazione richiederebbe “sforzi spropositati”; in tal caso si procede ad una comunicazione pubblica.

I provvedimenti adottati dal Garante della Privacy

La “Data breach notification” non è, comunque, per il nostro paese, una novità assoluta. Infatti, negli ultimi anni, attraverso una serie di provvedimenti adottati dal Garante della Privacy, è stato introdotto, in determinati settori, l’obbligo di comunicare al Garante stesso le eventuali violazioni di dati personali e, in taluni casi, di comunicarlo anche ai soggetti interessati. Questo riguardo le “società telefoniche” e gli “internet provider” (Provvedimento del Garante n. 161 del 4 aprile 2013), riguardo il tema della “Biometria” (Provvedimento del Garante n. 513 del 12 novembre 2014), il tema del “Dossier Sanitario Elettronico” (Provvedimento del Garante n. 331 del 4 giugno 2015) ed infine riguardo le “pubbliche amministrazioni” (Provvedimento del Garante n. 392 del 2 luglio 2015). Circa il dossier sanitario elettronico, entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante tutte le violazioni dei dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario. Le comunicazioni vanno redatte secondo lo schema riportato nell’allegato B del provvedimento n. 331 del 4.06.2015 (1) ed inviate tramite posta elettronica o posta elettronica certificata (PEC) all’indirizzo: databreach.dossier@ pec.gpdp.it. Sulle pubbliche amministrazioni – intendendo quelle di cui all’art. 1, comma 2, del d.lgs. 20 marzo 2001, n. 165 (2) – incombe, a loro volta, l’obbligo di comunicare al Garante, entro 48 ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali contenuti nelle proprie banche dati. Le comunicazioni vanno redatte secondo lo schema riportato nell’allegato 1 del provvedimento n. 392 del 2 luglio 2015 (3) ed inviate tramite posta elettronica o posta elettronica certificata (PEC) all’indirizzo: databreach.pa@pec.gpdp.it.

Il presente contributo è tratto da

Note

(1) Allegato B al Provvedimento del Garante per la Protezione dei dati personali del 4 giugno 2015 ”Linee Guida in materia di dossier sanitario”, scaricabile sul sito del Garante alla pagina http://194.242.234.211/documents/10160/0/Linee+guida

(2) “… tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane. e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale”.

(3) Allegato 1 al Provvedimento del Garante per la protezione dei dati personali del 2 luglio 2015 “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche”, scaricabile sul sito del Garante alla pagina: http://194.242.234.211/documents/10160/0/Allegato+1+Modello+segnalazione+data+breach+PA.p+in+materia+di+dossier+sanitario+-+Allegato+B.pdf.

 

Redazione

Scrivi un commento

Accedi per poter inserire un commento