Par une décision n° 157 du 30 juillet 2019 venant remplacer intégralement toutes les décisions antérieures dans ce domaine, l’Autorité de contrôle italienne chargée de la protection des données à caractère personnel a rendu public le formulaire de notification des incidents informatiques.
Violation des données à caractère personnel
Conformément à l’article 33, paragraphe 1er, du règlement (UE) n° 2016/679 relatif à la protection des données à caractère personnel (ci-après, leRGPDP »), le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente (…), dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. En outre, le sous-traitant qui a connaissance d’une éventuelle violation est tenu d’en informer le responsable du traitement en temps utile, afin que ce dernier puisse prendre des mesures.
Lorsque la notification à l’autorité de contrôle
n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
En outre, lorsque la violation comporte un risque élevé pour les droits des personnes, le responsable du traitement doit en informer toutes les personnes intéressées par les voies les plus appropriées, à moins qu’il n’ait déjà pris des mesures pour réduire son impact.
Le responsable du traitement, indépendamment de la notification à l’autorité de contrôle, documente toutes les violations des données à caractère personnel, par exemple en établissant un registre spécial. Cette documentation permet à l’Autorité de contrôle d’effectuer des vérifications éventuelles du respect de la réglementation.
Contenu de la notification à l’autorité de contrôle
Conformément à l’article 33, paragraphe 3, du RGPD, la notification à l’autorité de contrôle doit comporter les informations suivantes :
- décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- décrire les conséquences probables de la violation de données à caractère personnel ;
- décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Les informations ci-dessus sont indiquées au sein du formulaire annexé à la décision du 30 juillet 2019.
La notification se faite par courrier électronique certifié (PEC) envoyé à l’adresse protocollo@pec.gpdp.it et doit être signé numériquement ou de façon manuscrite. Dans ce dernier cas, la notification doit être accompagnée d’une copie de la pièce d’identité du signataire. L’objet du message doit comporter obligatoirement la mention « NOTIFICATION D’UNE VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL » « et, facultativement, le nom du responsable du traitement des données.
En cas de non-respect des procédures de notification, une sanction pécuniaire pouvant atteindre jusqu’à 10 millions d’euros ou, dans le cas des entreprises, jusqu’à 2 % du chiffre d’affaires mondial annuel total sera appliquée.