- Nuova procedura telematica Data Breach dal 1� luglio
- Data breach, elevato numero di notifiche di violazione dei dati personali
- Data breach, istruzioni per l'utilizzo della procedura telematica
- Data breach, qualificazione e compilazione della notifica
Nuova procedura telematica Data Breach dal 1� luglio
� operativa la nuova procedura telematica, voluta dal Garante privacy, disponibile sul portale dei servizi online dell'Autorit� pubblicata all'indirizzo "https://servizi.gpdp.it/", attraverso la quale, gi� dal 1� luglio 2021, i titolari del trattamento forniscono all'Autorit� le informazioni richieste per la notifica delle violazioni dei dati personali, ai sensi dell'art. 33 del Regolamento UE GDPR. Dalla relazione dell'anno 2020 sono scaturiti i numeri: i data breach notificati nel 2020 al Garante da parte di soggetti pubblici e privati sono stati 1387, in alcuni casi relativi anche a dati sanitari.
Data breach, elevato numero di notifiche di violazione dei dati personali
In particolare, l'adozione del nuovo sistema telematico � dovuta all'elevato numero di notifiche di violazione dei dati personali giunte all'Autorit�. In alcuni casi i dati inviati risultano privi di alcune informazioni necessarie per l'efficace valutazione del rispetto degli obblighi in materia di violazione dei dati personali previsti dagli artt. 33 e 34 del Regolamento UE GDPR e delle conseguenti iniziative da intraprendere a tutela dei diritti e delle libert� delle persone fisiche. Serve dunque una ulteriore acquisizione di altri elementi in relazione ai fatti e alle circostanze relative alla violazione dei dati personali ed il sistema telematico consente uno scambio immediato di richieste e ricevimento di informazioni tra Garante e titolare del trattamento notificante.
Data breach, istruzioni per l'utilizzo della procedura telematica
Al fine di garantire la correttezza formale, l'uniformit� di trattamento nonch� consentire la possibilit� di effettuare le necessarie operazioni di gestione e monitoraggio delle notifiche delle violazioni dei dati personali, la procedura telematica costituisce l'unica ed ordinaria modalit� mediante la quale l'Autorit� accoglier� le stesse.
In primis, la notifica di una violazione dei dati personali � un adempimento in capo al titolare del trattamento che tipicamente � una persona giuridica, mentre il sistema informatico � strutturato per interagire con una persona fisica. La nuova procedura consente ad una persona fisica - identificata - di effettuare la notifica in nome e per conto del titolare del trattamento previa assunzione della responsabilit�, ai sensi dell'art. 168 del Codice, del contenuto della stessa. Il soggetto che effettua la notifica, pertanto, sar� il rappresentante legale del titolare del trattamento o un'altra persona che agisce su delega dello stesso (cfr. sez A del modulo).
I soggetti muniti di credenziali SPID - livello 2 o in possesso di una nuova carta di identit� elettronica (c.d. CIE 3.0), previa autenticazione informatica, potranno accedere al sistema e procedere ad effettuare la notifica di una violazione. Con le predette modalit� di autenticazione, il soggetto che effettua la notifica sar� l'utente che si � autenticato (il cui cognome e nome sar� dedotto a valle della procedura di autenticazione informatica) che dovr� esplicitamente indicare se agisce in qualit� di Rappresentante Legale del titolare del trattamento oppure in qualit� di soggetto che invia la notifica su delega dello stesso.
Nel caso di Utente non autenticato, il sistema prevede anche la possibilit� di sottoscrivere la notifica, in alternativa alle predette modalit�, mediante l'apposizione di una firma digitale.
Con questa modalit�, l'utente non autenticato compila il modulo online e riceve una e-mail contenente le istruzioni per completare la procedura. In particolare, sar� necessario:
1. collegarsi ad una specifica pagina web e scaricare il file pdf per prendere visione dei dati forniti durante la compilazione del modulo: per confermarne il contenuto, procedere come descritto nel seguito (si raccomanda di non modificare il file scaricato in quanto la minima modifica comporta il rigetto della notifica);
qualora si rilevino errori o inesattezze nei dati inseriti non si devono effettuare i successivi passi descritti ma procedere a una nuova compilazione;
2. sottoscrivere il file pdf di cui al punto precedente con firma digitale (firma elettronica qualificata) in formato CAdES-BASELINE-B (estensione p7m) o PadES-BASELINE-B (estensione pdf) e senza usare "marche temporali". A tal fine � necessario utilizzare un dispositivo di firma digitale rilasciato da un certificatore accreditato (vedi https://www.agid.gov.it/it/piattaforme/firma-elettronica-qualificata/prestatori-di-servizi-fiduciari-attivi-in-italia);
3. collegarsi ad una specifica pagina web e caricare il file firmato digitalmente e gli eventuali allegati, previo inserimento di un identificativo e di un codice Upload riportati nella e-mail contenente le istruzioni, da utilizzare esclusivamente per le operazioni di caricamento.
Le istruzioni per completare la procedura di notifica saranno inviate via e-mail (posta elettronica ordinaria) all'indirizzo indicato: assicurarsi che la casella indicata, qualora fosse una casella PEC, sia abilitata alla ricezione di tali messaggi. Se non si riceve la e-mail, si suggerisce di controllare anche la casella spam o posta indesiderata.
La procedura di notifica della violazione dei dati personali si intende perfezionata esclusivamente al completamento delle operazioni di cui al punto 3. La mera compilazione del modulo e la conseguente ricezione dell'email contenente le istruzioni non concludono la procedura di notifica della violazione dei dati personali.
Data breach, qualificazione e compilazione della notifica
L'art. 33, par. 3 del Regolamento, definisce il set minimo di informazioni che il titolare del trattamento deve fornire all'autorit� di controllo al momento della notifica di una violazione dei dati personali. Al par. 4 il Regolamento, prevede esplicitamente la possibilit� in base alla quale "le informazioni possono essere fornite in fasi successive".
Infine, le Linee guida WP 250 suggeriscono che, all'atto della prima notifica all'autorit� di controllo, il titolare del trattamento informi quest'ultima del fatto che non dispone ancora di tutte le informazioni richieste e che fornir� ulteriori dettagli in un momento successivo.
Per semplificare il processo di compilazione nonch� i successivi controlli, le informazioni saranno raccolte mediante una serie di domande a cui l'utente � sempre tenuto a rispondere: pertanto, la "mancata risposta" ad una domanda trova esplicita possibilit� di espressione previa selezione di specifiche risposte (es. "non ancora determinato", "al momento non si dispone di tali informazioni", ecc.).
Durante la compilazione della "prima notifica", l'utente deve indicare se si tratta di una notifica "preliminare" o di una notifica "completa".
La qualificazione della "prima notifica" come "preliminare" o "completa" ha esclusivamente la funzione di discriminare l'applicazione dei controlli che garantiscono la presenza del set "minimo" di informazioni che il titolare � tenuto a fornire. A titolo esemplificativo, una notifica in cui il titolare non fornisca informazioni salienti, quali le categorie di dati personali coinvolti, le possibili conseguenze per gli interessati, ecc., non pu� essere qualificabile come "completa" in quanto priva degli elementi essenziali.
Il titolare ha sempre la facolt� di qualificare una notifica come preliminare qualora ritenga di dover integrare successivamente le informazioni fornite, pur avendo gi� fornito gli elementi essenziali.
Durante la compilazione di alcune sezioni � possibile indicare la volont� di allegare un file contenente ulteriori informazioni di dettaglio. L'upload degli allegati, sar� consentito al termine della compilazione (nel caso di utente autenticato) oppure nella fase di upload del file firmato (nel caso di utente non autenticato).
Per agevolare l'utente nella compilazione della notifica, esclusivamente per gli utenti autenticati, � disponibile la funzionalit� "Salva in bozza" che consente la compilazione del modulo in fasi successive. Il processo di compilazione deve essere completato entro il termine di 48 ore dal primo salvataggio: trascorso tale termine, i dati inseriti saranno cancellati e dovranno essere nuovamente inseriti.