1. La notifica al Garante privacy secondo il GDPR
Negli ultimi anni, numerose aziende ed enti pubblici si sono rivolti al nostro studio legale dopo aver subito incidenti di sicurezza che hanno compromesso la riservatezza dei dati personali trattati. Si tratta di eventi sempre piรน frequenti, che impongono una reazione tempestiva e conforme al Regolamento (UE) 2016/679.
In particolare, lโart. 33 del GDPR stabilisce lโobbligo di notificare la violazione al Garante per la protezione dei dati personali entro termini molto stringenti. In questo articolo approfondiamo quando scatta lโobbligo di notifica, quali informazioni devono essere fornite, come effettuare correttamente la comunicazione e quali sono le conseguenze in caso di omissioni o ritardi.
Art. 33, Regolamento (UE) 2016/679.
โ1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione allโautoritaฬ di controllo competente a norma dellโarticolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne eฬ venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertaฬ delle persone fisiche. Qualora la notifica allโautoritaฬ di controllo non sia effettuata entro 72 ore, eฬ corredata dei motivi del ritardo. 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione noncheฬ le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere piuฬ informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone lโadozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente allโautoritaฬ di controllo di verificare il rispetto del presente articolo.โ
2. Cosa si intende per violazione dei dati personali
Per capire quando รจ obbligatorio notificare un data breach al Garante privacy, รจ essenziale chiarire che cosa il GDPR intende per violazione dei dati personali. Lโart. 4, n. 12 del Regolamento (UE) 2016/679 definisce una violazione come un incidente di sicurezza che comporta, in modo accidentale o illecito, la perdita, la modifica, la divulgazione o lโaccesso non autorizzato a dati personali.
Il concetto รจ ampio e include situazioni molto diverse tra loro: dalla distruzione accidentale di archivi digitali o cartacei, alla manomissione di dati, fino alla compromissione di account di posta elettronica o alla pubblicazione involontaria di informazioni riservate. Anche un errore umano puรฒ dare origine a una violazione notificabile, se ha effetti sulla riservatezza, integritร o disponibilitร dei dati trattati.
Esempio di violazione dei dati personali
Una piccola impresa subisce un attacco ransomware: i file aziendali vengono criptati e lโaccesso ai documenti รจ bloccato. Durante lโanalisi tecnica, emerge che allโinterno delle cartelle colpite erano presenti curriculum vitae e documenti identificativi dei dipendenti. In questo caso, si configura una violazione dei dati personali, poichรฉ i dati sono diventati temporaneamente inaccessibili e potenzialmente esposti.
3. Cosa deve fare unโimpresa in caso di violazione dei dati personali
Quando si verifica un incidente informatico o un evento di sicurezza, il primo compito del titolare del trattamento รจ verificare se siano stati coinvolti dati personali. Non ogni incidente di sicurezza comporta automaticamente una violazione dei dati personali ai sensi dellโart. 4, n. 12, del GDPR.
Ad esempio, unโinterruzione di servizio o un tentativo di intrusione respinto non comportano obblighi di notifica, se i dati personali non sono stati effettivamente compromessi. ร quindi fondamentale svolgere tempestivamente questa prima verifica, per distinguere i casi che rientrano nellโambito del GDPR da quelli che non generano ulteriori adempimenti.
Esempio di incidente di sicurezza che non comporta una violazione dei dati personali
Unโazienda subisce un attacco ransomware che blocca temporaneamente lโaccesso ai file aziendali, ma le cartelle colpite contengono esclusivamente documenti amministrativi interni, privi di dati personali.
In questo caso, non si configura una violazione di dati personali ai sensi dellโart. 4, n. 12, del GDPR, perchรฉ non vi รจ stato alcun impatto effettivo sulla riservatezza, integritร o disponibilitร di dati riferibili a persone fisiche.
4. Quando la violazione dei dati personali va notificata al Garante
Anche se un incidente informatico ha comportato una violazione dei dati personali, il titolare del trattamento non รจ sempre tenuto a notificare lโevento al Garante per la protezione dei dati personali. Lโobbligo di notifica scatta solo se dalla violazione deriva un rischio concreto per i diritti e le libertร degli interessati.
Lโart. 33 del GDPR รจ chiaro: la notifica non รจ obbligatoria quando รจ improbabile che la violazione comporti un rischio per le persone coinvolte. Prima di procedere, lโimpresa deve quindi effettuare una valutazione specifica, che tenga conto della natura dei dati, delle circostanze del fatto e delle misure tecniche adottate.
Ad esempio, non รจ necessario notificare la violazione quando:
-
i dati personali compromessi erano giร pubblicamente disponibili, e la loro eventuale diffusione non aumenta il rischio per gli interessati;
-
i dati erano protetti da crittografia forte, e la chiave non รจ stata compromessa nรฉ puรฒ essere facilmente forzata con i mezzi disponibili.
Questa valutazione di impatto รจ essenziale per evitare segnalazioni non necessarie e garantire che lโadempimento dellโobbligo di notifica sia conforme allo spirito del GDPR: proteggere effettivamente le persone, evitando formalismi privi di utilitร sostanziale.
5. Chi effettua la notifica al Garante Privacy in caso di data breach?
La responsabilitร di notificare la violazione dei dati personali spetta sempre al titolare del trattamento. Il titolare รจ il soggetto โ persona fisica, giuridica, ente o autoritร โ che ha raccolto e utilizza i dati personali per proprie finalitร , ed รจ quindi anche colui che risponde degli obblighi previsti dallโart. 33 del GDPR, inclusa la notifica al Garante.
Anche quando lโincidente ha origine da un fornitore esterno o da un responsabile del trattamento, la notifica resta in capo al titolare. Il responsabile del trattamento, invece, ha lโobbligo di informare tempestivamente il titolare, senza ingiustificato ritardo, fornendo tutti gli elementi utili per valutare la gravitร dellโaccaduto. La collaborazione tra titolare e responsabile รจ fondamentale per assicurare una gestione efficace e conforme della violazione, nel rispetto dei tempi e delle forme previste dal Regolamento europeo.
Registro data breach GDPR: cosโรจ, quando e come compilarlo
Scopri quando compilare il registro delle violazioni privacy e cosa prevede il GDPR
6. Entro quanto tempo deve essere notificato un data breach al Garante?
La notifica della violazione dei dati personali al Garante per la protezione dei dati deve avvenire entro 72 ore dal momento in cui il titolare del trattamento ne รจ venuto a conoscenza. Questo termine include anche il tempo necessario per valutare se lโevento costituisce effettivamente una violazione ai sensi del GDPR e se sussistano i presupposti per procedere con la segnalazione.
In presenza di situazioni complesse o incerte, lโart. 33, paragrafo 1, del GDPR consente di superare il limite delle 72 ore, purchรฉ il ritardo sia debitamente motivato. In tal caso, la notifica dovrร contenere una spiegazione chiara delle ragioni per cui non รจ stato possibile rispettare la tempistica ordinaria. ร importante che tale giustificazione sia ben documentata, per evitare sanzioni da parte dellโAutoritร .
7. Da quando decorrono le 72 ore per notificare un data breach?
Il termine di 72 ore per notificare una violazione dei dati personali decorre dal momento in cui il titolare del trattamento โha conoscenzaโ dellโincidente. Secondo il GDPR, ciรฒ avviene quando il titolare puรฒ ragionevolmente ritenere accertata la violazione, cioรจ quando sussistono elementi concreti che confermano lโeffettiva compromissione dei dati personali.
Per rispettare questa tempistica, il titolare รจ tenuto a dotarsi di strumenti tecnici e organizzativi in grado di rilevare rapidamente eventuali violazioni. ร fondamentale che lโimpresa abbia procedure chiare per la gestione degli incidenti e un sistema interno efficace di escalation, cosรฌ da poter avviare prontamente le valutazioni e, se necessario, notificare nei termini previsti dallโart. 33 del GDPR.
La conoscenza della violazione dei dati personali
Il momento esatto in cui il titolare del trattamento puoฬ considerarsi โa conoscenzaโ di una particolare violazione dipenderaฬ dalle circostanze della violazione. In alcuni casi saraฬ relativamente evidente fin dallโinizio che cโeฬ stata una violazione, mentre in altri potrebbe occorrere del tempo per stabilire se i dati personali sono stati effettivamente violati e, in caso affermativo, prendere misure correttive ed effettuare la notifica, se necessario.
Data breach: quando informare gli interessati per il GDPR
Quando รจ obbligatorio comunicare agli interessati una violazione dei loro dati personali secondo il Regolamento (UE) 2016/679 (GDPR)
8. Come occorre indicare nella notifica della violazione al Garante privacy
Quando il titolare del trattamento notifica una violazione dei dati personali al Garante Privacy, lโart. 33 del GDPRstabilisce che la segnalazione deve contenere almeno le seguenti informazioni:
- descrizione della violazione, includendo, ove possibile, le categorie e il numero approssimativo di interessati coinvolti e le registrazioni dei dati personali compromesse.
- dati di contatto del DPO (Responsabile della protezione dei dati) o di un altro punto di riferimento per ottenere ulteriori informazioni.
- probabili conseguenze della violazione, con una valutazione dei rischi per gli interessati.
- misure adottate o previste dal titolare del trattamento per porre rimedio alla violazione e attenuarne gli effetti negativi.
Se non รจ possibile fornire tutte le informazioni contestualmente, il GDPR consente di integrarle successivamente senza ingiustificato ritardo.
9. Suggerimenti operativi in caso di violazione dei dati personali
Se la tua organizzazione ha subito un incidente di sicurezza e ti trovi nellโincertezza su come procedere, รจ essenziale agire tempestivamente. Il nostro studio fornisce assistenza immediata nella gestione dei data breach, aiutandoti a rispettare il termine di 72 ore previsto per la notifica al Garante per la protezione dei dati personali e ad affrontare ogni aspetto operativo e normativo con rigore e competenza.
Supportiamo i titolari del trattamento nella valutazione del rischio, nella documentazione delle analisi svolte, nella redazione della notifica al Garante privacy e, se necessario, nella comunicazione agli interessati. Ogni fase viene affrontata con metodo, per assicurare la piena conformitร al GDPR e tutelare lโente da eventuali sanzioni e contestazioni.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa รจ possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilitร per errori od omissioni, nonchรฉ per un utilizzo improprio o non aggiornato delle presenti informazioni.