Modello segnalazione data breach al Garante della Privacy

Modello con cui il titolare del trattamento dei dati personali è tenuto a notificare al Garante per la Privacy le violazioni dei dati personali (data breach) che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Il modello segnalazione data breach non va utilizzato se risulta improbabile che la violazione costituisca un rischio per i diritti e le libertà degli interessati.

Segnalazione violazione privacy: quando farla

La segnalazione va fatta dal titolare del trattamento nell'ipotesi in cui si verificasse:

• una diffusione non autorizzata dei dati personali;
• un furto o una perdita di dispositivi informatici contenenti dati personali;
• un accesso non autorizzato all'archivio informatico con conseguente acquisizione di dati;
• una situazione di mancato accesso ai dati per attacchi esterni, virus, malware, ecc.; 
• una perdita di dati per eventi come inondazioni, incendi o altre calamità;
• ecc.

Affinché siano oggetto di segnalazione al Garante è necessario che da tali episodi scaturiscano conseguenze significative, dal punto di vista fisico, materiale  o immateriale, per le persone coinvolte: ad esempio rischio di furto d'identità o di frode, possibili perdite finanziarie, danni alla reputazione, perdita di riservatezza dei dati personali protetti dal segreto professionale e così via.

Di fronte ad eventi di questo tipo il titolare del trattamento, che ricordiamo non è il soggetto gestisce materialmente i dati, bensì quello che decide il motivo e le modalità del trattamento, è tenuto ad effettuare una immediata segnalazione al Garante.

Il termine massimo che gli è concesso è di 72 ore dal momento in cui è venuto a conoscenza dell'evento. Oltre questo termine, il titolare deve specificatamente indicare i motivi che non hanno reso possibile una tempestiva segnalazione.

Inoltre se il problema non è arginabile e si prospetta una grave rischio per i diritti delle persone coinvolte, il titolare deve altresì inviare una comunicazione a tutti gli interessati.

Segnalazione data breach: come farla

Dal 1° luglio 2021 la segnalazione al Garante di una violazione di dati personali deve essere fata telematicamente e non più in forma cartacea. In particolare occorre utilizzare la procedura resa disponibile all'indirizzo

• https://servizi.gpdp.it/databreach/s/.

In questa stessa pagina è disponibile un fac simile in formato PDF, che tuttavia NON va in alcun modo utilizzato ai fini della notifica. In pratica il modello in questione serve unicamente per avere contezza dei dati e delle informazioni che andranno comunicati al Garante. 

Cosa fa il Garante dopo la segnalazione

L'autorità ricevuta la segnalazione del titolare del trattamento può adottare tutta una serie di provvedimenti e in particolare:

• rivolgere avvertimenti o ammonimenti al titolare o responsabile del trattamento;
• ingiungere al titolare del trattamento di comunicare agli interessati una violazione dei dati personali;
• prescrivere misure correttive per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative;
• infliggere una sanzione amministrativa pecuniaria;
• ecc.

Occhio alle sanzioni che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo.

Tags:  privacy