Violazione dei dati: gestione di reclami e data breach
Dott. Alessandro Pagliuca - Uno dei ruoli del Garante è quello di controllare l'applicazione delle regole e quindi trattare i reclami. A questo ruolo di trattamento dei reclami vengono spesso associate le sanzioni. Più che mirate a irrogare sanzioni, però, le procedure di reclami possono fornire un'interpretazione delle regole e quindi risultare un aiuto per aziende e enti pubblici che si trovano a ridefinire i processi interni alla luce della normativa comunitaria.
La procedura di reclamo
Così, la procedura di reclamo non è affatto un mero strumento finalizzato unicamente a irrogare sanzioni ma permette anche di interpretare e di conseguenza rendere più leggibili le regole in vigore per tutti gli interventi al processo di trattamento dei dati.
Un altro esempio, di come i provvedimenti del Garante possono ambire ad instaurare un clima di collaborazione tra esso e i titolari del trattamento per garantire il massimo rispetto della protezione dei dati degli interessati, è sicuramente la procedura di data breach.
La procedura di data breach
Essa richiede che in caso di violazione dei dati, il titolare debba notificarne gli estremi al Garante entro 72 ore dal momento in cui ne viene a conoscenza. Dopodiché l'Autorità potrà decidere come intervenire, ad esempio prescrivendo l'adozione di misure che siano in grado di garantire una maggior protezione e tutela dei diritti degli interessati e, solo nei casi più gravi, ove ne ricorrano i presupposti, infliggere sanzioni pecuniarie.
Il ruolo del Garante
In un recente caso, che ha visto la violazione di milioni di credenziali di account di posta elettronica per via di un accesso fraudolento a un hot spot della rete Wifi, il titolare del trattamento dopo aver informato il Garante aveva informato gli interessati della violazione descrivendola come una "attività anomala sui sistemi" suggerendo semplicemente il cambio della password come unica azione correttiva. In tal caso il Garante, ravvisando l'inadeguatezza della predetta comunicazione inidonea ai sensi dell'art. 34 Gdpr, ha ingiunto al titolare di "effettuare una nuova comunicazione della violazione dei dati personali agli interessati contenente una descrizione della natura della violazione e delle possibili conseguenze della stessa, nonché indicazioni specifiche sulle misure che gli interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quale la raccomandazione di non utilizzare più le credenziali compromesse, modificando la password utilizzata per l'accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione".
Questo ancora a dimostrazione del fatto che la figura del Garante è volta ad accompagnare e informare i titolari del trattamento sulle modalità più idonee ad adottare misure concrete per la difesa dei diritti e delle libertà degli interessati piuttosto che semplicemente infliggere sanzioni.
In conclusione, la figura del Garante veste tutta la sua importanza nei suoi ruoli di informazione al pubblico e di collaborazione con le aziende e amministrazioni pubbliche al fine di prevenire le eventuali violazioni dei diritti e dei dati. A questo fine, esso dispone di diversi strumenti, quali le su richiamate infografiche, le linee guide, le consultazioni, oppure i provvedimenti interpretativi. Le sanzioni, di fatto, non sono che la punta dell'iceberg.
E' pertanto quantomai improprio ridurre il ruolo dell'Autorità di controllo ad una mera funzione sanzionatoria, essendo invece un organo mirato a creare una vera cultura della privacy mediante apposita guida, informazione, interpretazione e collaborazione.
Dott. Alessandro Pagliuca
Privacy Specialist
alessandropagliuca12@gmail.com
Data: 26/04/2020 16:50:00Autore: Alessandro Pagliuca