Con il provvedimento del 30 luglio 2019 il Garante privacy italiano ha ritenuto opportuno in un’ottica di semplificazione del corretto adempimento degli obblighi amministrativi posti in capo al titolare del trattamento, indicare le informazioni da fornire al Garante, in caso di violazione dei dati personali (noto anche come data breach), nella notifica di cui all’art. 33 del Regolamento.

Cosa è una violazione dei dati personali (data breach)?

Secondo il GDPR per «violazione dei dati personali» si intende la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4, punto 12 del Regolamento; art. 2, comma 1, lett. m, del d.lgs. n. 51/2018);

Cosa fare in caso di violazione dei dati personali?

In caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare tale evento al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (artt. 33 e 55 del Regolamento, art. 2-bis del Codice); Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. 

Le notifiche di data breach al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. 

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Il titolare del trattamento è tenuto altresì a notificare la violazione dei dati personali al Garante con le modalità di cui all’art. 33 del Regolamento anche con riferimento al trattamento  effettuato a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, salvo che il trattamento medesimo sia effettuato dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, nonché di quelle giudiziarie del pubblico ministero (artt. 26 e 37, comma 6, del d.lgs. n. 51/2018).

Che tipo di violazioni di dati personali vanno notificate?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. 

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

Che informazioni deve contenere la notifica al Garante?

La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).

Il documento di notifica all’Autorità Garante dovrà descrivere quante più informazioni riassunte per sezioni. Nell’ottica del nuovo modulo di notifica messo a disposizione dall’Autorità Garante, il titolare del trattamento avvia il processo di notifica pur in assenza di un quadro completo della violazione con riserva di effettuare una successiva notifica integrativa.

Tra i contenuti della notifica dovranno essere presenti:

• Sez. A relativa ai dati del soggetto che effettua la notifica;
• Sez. B relativa ai dati del titolare del trattamento;
• Sez. B1 relativa ai Dati di contatto per informazioni relative ala violazione;
• Sez. C relativa alle informazioni di sintesi sulla violazione;

A tali sezioni seguono poi, le Informazioni di dettaglio sulla violazione, le misure adottate a seguito della violazione, con specificazione delle possibili conseguenze e gravità della violazione e relativa comunicazione agli interessati.

Le sanzioni previste in caso di Data Breach

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.