1. Che cos’è il registro delle violazioni dei dati personali
Il registro delle violazioni dei dati personali è uno strumento previsto dal Regolamento (UE) 2016/679 (GDPR), che consente al titolare del trattamento di documentare in modo sistematico ogni violazione della sicurezza che coinvolga dati personali, anche nota come data breach.
All’interno di questo registro, il titolare annota tutte le informazioni rilevanti su ogni episodio: quando è avvenuto, quali dati sono stati coinvolti, quali misure sono state adottate per contenere la violazione e per prevenire il ripetersi dell’evento. Il registro serve a dimostrare al Garante per la protezione dei dati personali la conformità dell’organizzazione e l’adozione di un sistema di gestione del rischio efficace.
Art. 33, par. 5, Regolamento (UE) 2016/679 (GDPR)
“5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.”
2. Quando deve essere compilato il registro delle violazioni dei dati personali?
Il registro delle violazioni dei dati personali deve essere compilato tempestivamente ogni volta che si verifichi un incidente di sicurezza che abbia coinvolto i dati personali custoditi dal titolare del trattamento, quali, ad esempio, i dati dei propri dipendenti, clienti, collaboratori, fornitori, agenti.
Tuttavia, occorre precisare che non tutti gli incidenti di sicurezza sono violazioni dei dati personali da annotare nel registro data breach. Devono essere annotati nel registro delle violazioni dei dati personali solo gli incidenti di sicurezza che abbiano compromesso la riservatezza (se i dati personali sono stati accidentalmente visti da persone non autorizzate), l’integrità (se i dati personali sono stati modificati da terzi non autorizzati) o la disponibilità (se i dati personali sono stati cancellati o persi) dei dati personali.
La notifica al Garante privacy di un data breach
Quando e come notificare un data breach al Garante privacy?
3. Chi deve compilare il registro delle violazioni privacy
Il registro delle violazioni dei dati personali deve essere compilato dal titolare del trattamento, ossia il soggetto che determina le finalità e i mezzi del trattamento dei dati personali all’interno dell’organizzazione.
Il titolare può essere affiancato dal Responsabile della protezione dei dati personali (DPO), se nominato, oppure da uno o più Responsabili del trattamento, incaricati ai sensi dell’art. 28 del GDPR. In particolare, questi ultimi, secondo l’art. 28, par. 3, lett. f), hanno l’obbligo di informare tempestivamente il titolare qualora si verifichi una violazione che coinvolga dati personali trattati per suo conto.
È quindi il titolare a gestire il registro, con il supporto dei soggetti coinvolti nella governance privacy dell’organizzazione, assicurandosi che ogni violazione rilevante sia correttamente documentata.
4. Cosa deve contenere il registro delle violazione dei dati personali?
Il GDPR non stabilisce un contenuto rigido per il registro delle violazioni dei dati personali, ma richiede che il titolare documenti ogni evento in modo completo, affinché — in caso di controllo — sia possibile dimostrare la corretta gestione della violazione.
È prassi consolidata che il registro contenga tutte le informazioni utili a rappresentare con chiarezza natura, portata e gestione della violazione. In particolare, dovrebbero essere indicati:
- la data della violazione e una descrizione dell’incidente;
- le categorie di dati personali coinvolti;
- il numero approssimativo degli interessati;
- le conseguenze accertate o potenziali per gli interessati;
- le misure adottate per porre fine alla violazione e per mitigarne gli effetti;
- l’eventuale notifica all’autorità di controllo (Garante Privacy);
- l’eventuale comunicazione agli interessati, se richiesta ai sensi dell’art. 34 del GDPR.
Il registro deve essere conservato con modalità sicure e facilmente consultabili, in formato cartaceo o digitale, ed essere costantemente aggiornato dal titolare del trattamento.
5. Cosa può comportare la mancata adozione del registro delle violazioni privacy?
La mancata documentazione di una violazione dei dati personali può esporre il titolare del trattamento a sanzioni amministrative anche molto rilevanti. Ai sensi dell’art. 83, par. 4, del GDPR, l’omessa o incompleta tenuta del registro dei data breach costituisce una violazione degli obblighi previsti per titolari e responsabili del trattamento.
Il Garante per la protezione dei dati personali può infliggere sanzioni fino a 10 milioni di euro, oppure — per le imprese — fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. In particolare, tra gli obblighi richiamati vi sono quelli contenuti negli articoli da 25 a 39 del GDPR, tra cui anche l’art. 33 (notifica della violazione) e, per estensione, l’obbligo di documentare l’evento nel registro delle violazioni.
Mantenere un registro aggiornato e completo non è quindi solo una buona prassi, ma un adempimento obbligatorio, la cui omissione può generare sanzioni economiche e profili di responsabilità per l’organizzazione.
Data breach: quando informare gli interessati per il GDPR
Quando è obbligatorio comunicare agli interessati una violazione dei loro dati personali secondo il Regolamento (UE) 2016/679 (GDPR)
6. Suggerimenti operativi
Quando assistiamo le imprese nella gestione delle violazioni dei dati personali (data breach), una delle prime raccomandazioni riguarda la corretta tenuta del registro delle violazioni previsto dall’art. 33, par. 5, del GDPR.
La compilazione del registro può avvenire anche in modo progressivo, man mano che si acquisiscono maggiori elementi sull’incidente. Tuttavia, è fondamentale che dal registro emerga con chiarezza la tempestività dell’intervento e la diligenza del titolare nel contenere il rischio per la riservatezza dei dati trattati.
Un registro aggiornato e ben documentato non è solo una misura di compliance, ma uno strumento di tutela concreta. Dimostra l’attenzione dell’organizzazione alla protezione dei dati personali, rafforza la posizione dell’impresa in caso di controlli o contestazioni, e contribuisce a ridurre il rischio di sanzioni da parte del Garante.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.