• Privacy, "Data Breach" servizio online per semplificare gli adempimenti
• Cosa fare in caso di violazione dei dati personali?
• Come inviare la notifica al Garante privacy

Privacy, "Data Breach" servizio online per semplificare gli adempimenti

Il Garante per la protezione dei dati personali ha introdotto un nuovo servizio al fine di supportare i titolari del trattamento in vista degli adempimenti previsti in caso di violazione dei dati personali. Nello specifico, grazie al servizio sar� possibile accedere al modello di notifica al Garante Privacy e alla procedura di self assessment, la quale aiuta i titolari nell'assolvimento degli obblighi loro spettanti in tema di notifica di una violazione dei dati personali nei confronti dell'autorit� di controllo e di Comunicazione di una violazione all'interessato. Una violazione di sicurezza comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali pu� compromettere la riservatezza, l'integrit� o la disponibilit� di dati personali. Ad esempio: l'accesso o l'acquisizione dei dati da parte di terzi non autorizzati; il furto o la perdita di dispositivi informatici contenenti dati personali; la deliberata alterazione di dati personali; l'impossibilit� di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamit�; la divulgazione non autorizzata dei dati personali.

Cosa fare in caso di violazione dei dati personali?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne � venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libert� delle persone fisiche. Come chiarisce il sito dell'Autorit�: il responsabile del trattamento che viene a conoscenza di una eventuale violazione � tenuto a informare tempestivamente il titolare in modo che possa attivarsi. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

Nel caso in cui la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali pi� idonei, a meno che abbia gi� preso misure tali da ridurne l'impatto.

Il Garante ricorda che vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ci� pu� includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identit� o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

Come inviare la notifica al Garante privacy

La notifica deve essere inviata al Garante tramite posta elettronica certificata all'indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all'indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identit� del firmatario. L'oggetto del messaggio deve contenere obbligatoriamente la dicitura "NOTIFICA VIOLAZIONE DATI PERSONALI" e opzionalmente la denominazione del titolare del trattamento.

Per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante ha ideato e messo disposizione un apposito strumento di autovalutazione (self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.