Data breach e obbligo di notifica al Garante Privacy nel nuovo GDPR
Il Regolamento n. 679/2016, in materia di trattamento dei dati personali, ha eliminato - ma non del tutto per lo Stato italiano, si veda a tal proposito la legge di bilancio 2018 - le notificazioni per le verifiche preventive al Garante della Privacy, tuttavia ha introdotto la comunicazione obbligatoria delle violazioni sui dati personali (data breach) a carico dei titolari del trattamento. A differenza della direttiva n. 46/95/CE in base alla quale i titolari dovevano segnalare al Garante le sole violazioni in materia di comunicazioni elettroniche che incidevano anche sulla privacy, quindi, in linea di massima, chi era tenuto alle notificazioni delle violazioni erano generalmente gli ISP, coloro che forniscono servizi di telecomunicazione o servizi di sicurezza nel medesimo settore, oggi con il GDPR la sfera delle comunicazioni obbligatorie al Garante della privacy relativamente alle violazioni in materia di dati personali, si estende a tutte quelle violazioni che possono incidere sui diritti e le libertà dell’individuo (una valutazione che spetta al titolare effettuare). Una violazione dei dati personali, infatti, se non viene gestita prontamente e in maniera adeguata può, provocare danni fisici, materiali o immateriali agli individui, ad esempio, può causare perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o furto di identità, perdite finanziarie, danni alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, ecc. Si pensi ad un accesso non autorizzato in un sistema bancario, ebbene questa violazione potrebbe di certo provocare conseguenze negative sui diritti e sulle libertà degli interessati, in quanto da essa potrebbero derivare reati quali furto di identità, furto di denaro, frodi ecc; ma si pensi anche a casi di cancellazione o alterazione di dati sanitari, anche una situazione di questo tipo incide indubbiamente sui diritti e le libertà degli interessati.
Il titolare del trattamento ha 72 ore di tempo da quando viene a conoscenza della violazione per notificarla al Garante della Privacy. Decidendo di non effettuare tale notificazione, non ritenendola rilevante, se ne assume la responsabilità; quindi, salvo il caso in cui egli non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, sia quasi impossibile che la violazione dei dati personali metta a rischio i diritti e le libertà delle persone fisiche, risponde di tale omissione anche in sede amministrativa, quale violazione delle norme del GDPR, con una sanzione che può arrivare fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo, ai sensi dell’art. 83 del GDPR.
Cosa contiene la notifica della violazione al Garante?
La notifica della violazione deve contenere almeno:
- una descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati, le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- il nome e i dati di contatto del responsabile della protezione dei dati (DPO) o di altro punto di contatto presso cui ottenere più informazioni;
- una descrizione delle eventuali conseguenze della violazione dei dati personali;
- una descrizione delle misure adottate o che il titolare del trattamento intende adottare per risolvere la situazione, in modo da limitarne i possibili effetti negativi.
Il titolare del trattamento è tenuto a tenere anche un registro delle violazioni contenente l’illustrazione delle circostanze in cui la violazione si è verificata, delle conseguenze e dei provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante e alle autorità ispettive di verificare il rispetto delle disposizioni normative in materia di data breach.