Privacy: notifica online per la violazione dei dati personali

Pubblicato il


Privacy: notifica online per la violazione dei dati personali

Via libera dal 1° luglio 2021 al nuovo servizio telematico dedicato al data breach. A segnalarlo sul proprio sito istituzionale è il Garante per la protezione dei dati personali.

La nuova procedura telematica, adottata con il provvedimento del Garante per la protezione dei dati personali n. 209 del 27 maggio 2021, sarà disponibile all’indirizzo https://servizi.gpdp.it/ e consentirà ai titolari del trattamento di procedere alla notifica delle violazioni dei dati personali (data breach) ai sensi dell’art. 33 del Regolamento (UE) 2016/679 o dell’art. 26 del D.Lgs. n. 51/2018, guidandoli nell’assolvimento degli obblighi.

Data breach e finalità del nuovo servizio online

Per “violazione dei dati personali” o data breach si intende la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.

Il titolare del trattamento è tenuto a notificare la violazione dei dati personali al Garante privacy senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali, come, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

Il Garante privacy, rilevato l’elevato numero di notifiche di violazione dei dati personali pervenute risultanti talvolta prive di alcune informazioni necessarie per loro valutazione anche al fine delle iniziative da intraprendere a tutela dei diritti e delle libertà delle persone fisiche e nell’ottica di semplificare l’adempimento degli obblighi da parte dei titolari del trattamento nonché di accrescere l’efficacia e l’efficienza dell’azione amministrativa, ha adottato un’apposita procedura telematica per la notifica della violazione dei dati personali.

Notifica di data breach: procedura telematica attiva dal 1° luglio

Dal 1° luglio la procedura telematica disponibile all’indirizzo https://servizi.gpdp.it/ costituirà l’unica ed ordinaria modalità mediante la quale il Garante privacy accoglierà le notifiche delle violazioni dei dati personali.

N.B. Tutte le notifiche inviate prima dovranno essere trasmesse al Garante tramite posta elettronica certificata all'indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it

Notifica di data breach: autenticazione al servizio

La persona fisica, che dovrà esplicitamente indicare se agisce in qualità di rappresentante legale del titolare del trattamento o in sua delega, effettua la notifica in nome e per conto del titolare del trattamento, tipicamente una persona giuridica.

Per accedere al sistema e procedere ad effettuare la notifica di una violazione si dovrà essere muniti di credenziali SPID - livello 2 o in possesso di una nuova carta di identità elettronica (c.d. CIE 3.0)

In alternativa è possibile sottoscrivere la notifica mediante l’apposizione di una firma digitale. Compilando il modulo online si riceve una e-mail via posta elettronica ordinaria) con le istruzioni per completare la procedura.

Notifica di data breach: compilazione della notifica

Il Garante fornisce il fac-simile del “modello di notifica delle violazioni dei dati personali” che dà conto del set di informazioni che il titolare del trattamento deve fornire in risposta ad una serie di domande.

Durante la compilazione della “prima notifica”, si dovrà indicare se si tratta di una notifica “preliminare” o di una notifica “completa”. L’indicazione, spiega il Garante, ha esclusivamente la funzione di discriminare l’applicazione dei controlli che garantiscono la presenza del set “minimo” di informazioni che il titolare è tenuto a fornire.

E’ possibile indicare la volontà di allegare un file contenente ulteriori informazioni di dettaglio. L’upload degli allegati, sarà consentito al termine della compilazione (nel caso di utente autenticato) oppure nella fase di upload del file firmato (nel caso di utente non autenticato).

Solo per gli utenti autenticati è disponibile la funzionalità “salva in bozza” ma a condizione che la compilazione sia completata entro 24 ore dal primo salvataggio.

Notifica di data breach: altre funzionalità

E’ sempre possibile integrare una prima notifica con una notifica integrativa che annulla e sostituisce la precedente versione, previa integrazione o modifica.

Il Garante fa presente che la nuova procedura online dovrà essere utilizzata anche per la trasmissione di informazioni integrative riferite a notifiche trasmesse con le previgenti modalità.

Se dopo la notifica iniziale, una successiva indagine dimostra che l’incidente di sicurezza è stato contenuto e che non si è verificata alcuna violazione il titolare del trattamento può trasmettere una notifica integrativa fornendo le necessarie motivazioni.

Notifica di data breach: integrazioni

Una volta completato l’iter, la persona fisica che ha presentato la notifica e il titolare del trattamento riceveranno un documento informatico contenente le informazioni inserite all’atto della notifica.

In caso di notifica qualificata come “preliminare” oppure carente delle informazioni essenziali ai fini di una corretta valutazione dei fatti, i titolari riceveranno messaggi automatici per le dovute integrazioni con l’indicazione delle motivazioni.

Sanzioni del Garante privacy

Si ricorda infine che il Garante nel caso rilevi una violazione delle disposizioni del Regolamento UE stesso può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679). In particolare, sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale. 

Allegati