Quando l’indisponibilità transitoria di dati personali deve essere notificata al Garante Privacy

Diritto

Quando l’indisponibilità transitoria di dati personali deve essere notificata al Garante Privacy

Il Gruppo Art. 29 ha adottato il 6 febbraio 2018 una nuova versione delle linee guida in materia di data breach, dove fornisce la definizione di “violazione” e chiarisce come debbano comportarsi titolari e responsabili del trattamento nell’iter di adeguamento relativo alla notifica delle violazioni.

Il Gruppo Art. 29 ha offerto chiarimenti sul concetto di violazione da notificare e raccomandazioni sulle misure e sui processi di cui dotarsi per garantire un livello di protezione adeguato al rischio potenziale di violazione sui dati personali, tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché del rischio potenziale, del livello di gravità del rischio per i diritti e le libertà delle persone fisiche e della probabilità di accadimento dello stesso. Strumenti e misure che consentano anche:

di individuare immediatamente la violazione;
di reagire repentinamente alla stessa.

Il Gruppo Art. 29 definisce la violazione come un incidente di sicurezza che grava sui dati personali, individuandone 4 diverse tipologie:

“Violazione della sicurezza che porta a distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato a dati personali trasmessi, archiviati o altrimenti elaborati”;
“Violazione della riservatezza”: in caso di divulgazione o accesso non autorizzato o accidentale ai dati personali;
“Violazione dell'integrità”: in caso di alterazione non autorizzata o accidentale dei dati personali;
“Violazione della disponibilità”: in caso di perdita accidentale o non autorizzata di accesso o distruzione di dati personali.

In alcuni casi, anche una temporanea indisponibilità dei dati personali deve essere considerata una violazione e deve essere notificata al Garante. Infatti, in base all’articolo 32 del GDPR, secondo cui nell’attuare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, il titolare del trattamento dovrebbe prendere in considerazione, tra le altre cose, “la capacità di garantire la riservatezza costante, integrità, disponibilità e resilienza dei sistemi e dei servizi di elaborazione “e” la capacità di ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico”, pertanto, un incidente di sicurezza che porta a rendere indisponibili dati personali per un lasso temporale costituisce un tipo di violazione, poichè la mancanza di accesso ai dati può ripercuotersi significativamente sui diritti e le libertà delle persone fisiche.
Ad ogni modo, non tutte le violazioni che comportano indisponibilità temporanea dei dati devono essere notificate, ma, a seconda delle circostanze della violazione, solo quelle che impattano negativamente sui diritti e le libertà degli interessati, ciò significa che il titolare del trattamento (o il responsabile nell’ambito del proprio ruolo) dovrà valutare in anticipo quando e quanto gravemente la mancanza di disponibilità di dati personali può incidere sui diritti e le libertà delle persone fisiche. Si tratta di una valutazione che va effettuata caso per caso.

Una violazione che implichi la temporanea indisponibilità dei dati dovrebbe essere in ogni caso annotata nel registro delle violazioni conformemente all’articolo 33, paragrafo 5. Questo aiuterà il titolare a dimostrare il proprio intervento proattivo all’autorità di vigilanza, che potrà chiedere di visionare tali documenti.