L’Autorità Garante della protezione dei dati, con la newsletter 472 del 25 gennaio 2021 ha comunicato che il precedente 14 gennaio, l’EDPB (l’“European Data Protection Board”) ha adottato delle nuove Linee Guida (“Guidelines 01/2021 on Examples regarding Data Breach Notification”, le “Linee Guida”) volte a supportare imprese e pubblica amministrazione nell’affrontare correttamente le violazioni dei dati e nel definire i processi di gestione del rischio.

Il documento si aggiunge alle precedenti linee guida del Gruppo di Lavoro 29 (“Guidelines on Personal data breach notification under Regulation 2016/679”) che, invece, comprendono una analisi tecnico-teorica di quanto prescritto dal Regolamento (UE) 2016/697 (il “Regolamento”) in tema di violazioni dei dati personali (o “Data Breach”).

Alla luce dei principi di sicurezza delle informazioni, richiamando l’”Opinion 3/2014” e le “Guidelines WP 250”, L’EDPB fornisce una classificazione della tipologia di violazioni attuabili, ossia:

  • «violazioni della riservatezza» – che sussistono quando si verifica una divulgazione non autorizzata o un accesso non autorizzato ai dati personali;
  • «violazioni dell’integrità» – che avvengono quando si verifica un’alterazione non autorizzata o accidentale dei dati personali;
  • «violazioni della disponibilità» – che si realizzano quando si verifica una perdita accidentale o un accesso autorizzato o una distruzione di dati personali.

Le Linee Guida, avendo l’obiettivo di fornire indicazioni utili ai Titolari e ai Responsabili del trattamento per gestire correttamente una violazione di dati personali, illustrano i comportamenti da evitare (ad es. l’omessa cifratura dei dati) e contengono numerose casistiche pratiche che hanno visto coinvolti, in diversi paesi europei, ospedali, banche, imprese e società di servizi online di vario genere.

Tali casistiche descrivono le misure preventive adottabili e suggeriscono le modalità di svolgimento del risk assessment in riferimento alla violazione subita, le potenziali misure adottabili per ridurre i rischi e gli obblighi ex lege che devono essere rispettati.

L’EDPB ha avviato una consultazione pubblica europea sul documento che terminerà il 2 marzo 2021.

Altri insights correlati:

Con Provvedimento 157 del 30 luglio 2019, che sostituisce integralmente tutti i precedenti provvedimenti in materia, il Garante per la protezione dei dati personali ha fornito il modello per la segnalazione degli incidenti informatici.

 

Data Breach

Ai sensi dell’art. 33, par. 1, del Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”), il titolare del trattamento, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, è tenuto a notificare la violazione all’Autorità di controllo a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Inoltre, il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di controllo di effettuare eventuali verifiche sul rispetto della normativa.

Contenuto della notifica al Garante

Ai sensi dell’art. 33, par. 3, del GDPR, la notifica al Garante deve contenere le seguenti informazioni:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • indicare il nome e i dati di contatto del Responsabile della protezione dei dati (DPO) o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Le summenzionate informazioni sono indicate nel modello allegato al Provvedimento del 30 luglio 2019 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9128501&zx=3v0y3s4rzznn)

La notifica va effettuata via PEC all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente ad una copia del documento di identità del firmatario. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

In caso di violazione delle procedure di notifica si applica una sanzione pecuniaria che può arrivare fino a 10 milioni di euro oppure, nel caso di imprese, fino al 2% del fatturato annuo totale mondiale.