Data: 05/07/2021 11:00:00 - Autore: Gabriella Lax

Nuova procedura telematica Data Breach dal 1° luglio

[Torna su]

È operativa la nuova procedura telematica, voluta dal Garante privacy, disponibile sul portale dei servizi online dell'Autorità pubblicata all'indirizzo "https://servizi.gpdp.it/", attraverso la quale, già dal 1° luglio 2021, i titolari del trattamento forniscono all'Autorità le informazioni richieste per la notifica delle violazioni dei dati personali, ai sensi dell'art. 33 del Regolamento UE GDPR. Dalla relazione dell'anno 2020 sono scaturiti i numeri: i data breach notificati nel 2020 al Garante da parte di soggetti pubblici e privati sono stati 1387, in alcuni casi relativi anche a dati sanitari.

Data breach, elevato numero di notifiche di violazione dei dati personali

[Torna su]

In particolare, l'adozione del nuovo sistema telematico è dovuta all'elevato numero di notifiche di violazione dei dati personali giunte all'Autorità. In alcuni casi i dati inviati risultano privi di alcune informazioni necessarie per l'efficace valutazione del rispetto degli obblighi in materia di violazione dei dati personali previsti dagli artt. 33 e 34 del Regolamento UE GDPR e delle conseguenti iniziative da intraprendere a tutela dei diritti e delle libertà delle persone fisiche. Serve dunque una ulteriore acquisizione di altri elementi in relazione ai fatti e alle circostanze relative alla violazione dei dati personali ed il sistema telematico consente uno scambio immediato di richieste e ricevimento di informazioni tra Garante e titolare del trattamento notificante.

Data breach, istruzioni per l'utilizzo della procedura telematica

[Torna su]

Al fine di garantire la correttezza formale, l'uniformità di trattamento nonché consentire la possibilità di effettuare le necessarie operazioni di gestione e monitoraggio delle notifiche delle violazioni dei dati personali, la procedura telematica costituisce l'unica ed ordinaria modalità mediante la quale l'Autorità accoglierà le stesse.

In primis, la notifica di una violazione dei dati personali è un adempimento in capo al titolare del trattamento che tipicamente è una persona giuridica, mentre il sistema informatico è strutturato per interagire con una persona fisica. La nuova procedura consente ad una persona fisica - identificata - di effettuare la notifica in nome e per conto del titolare del trattamento previa assunzione della responsabilità, ai sensi dell'art. 168 del Codice, del contenuto della stessa. Il soggetto che effettua la notifica, pertanto, sarà il rappresentante legale del titolare del trattamento o un'altra persona che agisce su delega dello stesso (cfr. sez A del modulo).

I soggetti muniti di credenziali SPID - livello 2 o in possesso di una nuova carta di identità elettronica (c.d. CIE 3.0), previa autenticazione informatica, potranno accedere al sistema e procedere ad effettuare la notifica di una violazione. Con le predette modalità di autenticazione, il soggetto che effettua la notifica sarà l'utente che si è autenticato (il cui cognome e nome sarà dedotto a valle della procedura di autenticazione informatica) che dovrà esplicitamente indicare se agisce in qualità di Rappresentante Legale del titolare del trattamento oppure in qualità di soggetto che invia la notifica su delega dello stesso.

Nel caso di Utente non autenticato, il sistema prevede anche la possibilità di sottoscrivere la notifica, in alternativa alle predette modalità, mediante l'apposizione di una firma digitale.

Con questa modalità, l'utente non autenticato compila il modulo online e riceve una e-mail contenente le istruzioni per completare la procedura. In particolare, sarà necessario:

1. collegarsi ad una specifica pagina web e scaricare il file pdf per prendere visione dei dati forniti durante la compilazione del modulo: per confermarne il contenuto, procedere come descritto nel seguito (si raccomanda di non modificare il file scaricato in quanto la minima modifica comporta il rigetto della notifica);

qualora si rilevino errori o inesattezze nei dati inseriti non si devono effettuare i successivi passi descritti ma procedere a una nuova compilazione;

2. sottoscrivere il file pdf di cui al punto precedente con firma digitale (firma elettronica qualificata) in formato CAdES-BASELINE-B (estensione p7m) o PadES-BASELINE-B (estensione pdf) e senza usare "marche temporali". A tal fine è necessario utilizzare un dispositivo di firma digitale rilasciato da un certificatore accreditato (vedi https://www.agid.gov.it/it/piattaforme/firma-elettronica-qualificata/prestatori-di-servizi-fiduciari-attivi-in-italia);

3. collegarsi ad una specifica pagina web e caricare il file firmato digitalmente e gli eventuali allegati, previo inserimento di un identificativo e di un codice Upload riportati nella e-mail contenente le istruzioni, da utilizzare esclusivamente per le operazioni di caricamento.

Le istruzioni per completare la procedura di notifica saranno inviate via e-mail (posta elettronica ordinaria) all'indirizzo indicato: assicurarsi che la casella indicata, qualora fosse una casella PEC, sia abilitata alla ricezione di tali messaggi. Se non si riceve la e-mail, si suggerisce di controllare anche la casella spam o posta indesiderata.

La procedura di notifica della violazione dei dati personali si intende perfezionata esclusivamente al completamento delle operazioni di cui al punto 3. La mera compilazione del modulo e la conseguente ricezione dell'email contenente le istruzioni non concludono la procedura di notifica della violazione dei dati personali.

Data breach, qualificazione e compilazione della notifica

[Torna su]

L'art. 33, par. 3 del Regolamento, definisce il set minimo di informazioni che il titolare del trattamento deve fornire all'autorità di controllo al momento della notifica di una violazione dei dati personali. Al par. 4 il Regolamento, prevede esplicitamente la possibilità in base alla quale "le informazioni possono essere fornite in fasi successive".

Infine, le Linee guida WP 250 suggeriscono che, all'atto della prima notifica all'autorità di controllo, il titolare del trattamento informi quest'ultima del fatto che non dispone ancora di tutte le informazioni richieste e che fornirà ulteriori dettagli in un momento successivo.

Per semplificare il processo di compilazione nonché i successivi controlli, le informazioni saranno raccolte mediante una serie di domande a cui l'utente è sempre tenuto a rispondere: pertanto, la "mancata risposta" ad una domanda trova esplicita possibilità di espressione previa selezione di specifiche risposte (es. "non ancora determinato", "al momento non si dispone di tali informazioni", ecc.).

Durante la compilazione della "prima notifica", l'utente deve indicare se si tratta di una notifica "preliminare" o di una notifica "completa".

La qualificazione della "prima notifica" come "preliminare" o "completa" ha esclusivamente la funzione di discriminare l'applicazione dei controlli che garantiscono la presenza del set "minimo" di informazioni che il titolare è tenuto a fornire. A titolo esemplificativo, una notifica in cui il titolare non fornisca informazioni salienti, quali le categorie di dati personali coinvolti, le possibili conseguenze per gli interessati, ecc., non può essere qualificabile come "completa" in quanto priva degli elementi essenziali.

Il titolare ha sempre la facoltà di qualificare una notifica come preliminare qualora ritenga di dover integrare successivamente le informazioni fornite, pur avendo già fornito gli elementi essenziali.

Durante la compilazione di alcune sezioni è possibile indicare la volontà di allegare un file contenente ulteriori informazioni di dettaglio. L'upload degli allegati, sarà consentito al termine della compilazione (nel caso di utente autenticato) oppure nella fase di upload del file firmato (nel caso di utente non autenticato).

Per agevolare l'utente nella compilazione della notifica, esclusivamente per gli utenti autenticati, è disponibile la funzionalità "Salva in bozza" che consente la compilazione del modulo in fasi successive. Il processo di compilazione deve essere completato entro il termine di 48 ore dal primo salvataggio: trascorso tale termine, i dati inseriti saranno cancellati e dovranno essere nuovamente inseriti.


Tutte le notizie