Con Provvedimento 157 del 30 luglio 2019, che sostituisce integralmente tutti i precedenti provvedimenti in materia, il Garante per la protezione dei dati personali ha fornito il modello per la segnalazione degli incidenti informatici.
Data Breach
Ai sensi dell’art. 33, par. 1, del Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”), il titolare del trattamento, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, è tenuto a notificare la violazione all’Autorità di controllo a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Inoltre, il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di controllo di effettuare eventuali verifiche sul rispetto della normativa.
Contenuto della notifica al Garante
Ai sensi dell’art. 33, par. 3, del GDPR, la notifica al Garante deve contenere le seguenti informazioni:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- indicare il nome e i dati di contatto del Responsabile della protezione dei dati (DPO) o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Le summenzionate informazioni sono indicate nel modello allegato al Provvedimento del 30 luglio 2019 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9128501&zx=3v0y3s4rzznn)
La notifica va effettuata via PEC all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente ad una copia del documento di identità del firmatario. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
In caso di violazione delle procedure di notifica si applica una sanzione pecuniaria che può arrivare fino a 10 milioni di euro oppure, nel caso di imprese, fino al 2% del fatturato annuo totale mondiale.