Con Provvedimento 157 del 30 luglio 2019, che sostituisce integralmente tutti i precedenti provvedimenti in materia, il Garante per la protezione dei dati personali ha fornito il modello per la segnalazione degli incidenti informatici.
Data Breach
Ai sensi dell’art. 33, par. 1, del Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”), il titolare del trattamento, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, è tenuto a notificare la violazione all’Autorità di controllo a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Inoltre, il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di controllo di effettuare eventuali verifiche sul rispetto della normativa.
Contenuto della notifica al Garante
Ai sensi dell’art. 33, par. 3, del GDPR, la notifica al Garante deve contenere le seguenti informazioni:
Le summenzionate informazioni sono indicate nel modello allegato al Provvedimento del 30 luglio 2019 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9128501&zx=3v0y3s4rzznn)
La notifica va effettuata via PEC all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente ad una copia del documento di identità del firmatario. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
In caso di violazione delle procedure di notifica si applica una sanzione pecuniaria che può arrivare fino a 10 milioni di euro oppure, nel caso di imprese, fino al 2% del fatturato annuo totale mondiale.