MODELLO DI NOTIFICA AL GARANTE VIOLAZIONE DI DATI PERSONALI
disponibile il nuovo modulo per la comunicazione dei Data Breach
I titolari di trattamento di dati personali sono tenuti a notificare al Garante le violazioni dei dati personali (data breach) che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell'ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.
La notifica non deve includere i dati personali oggetto di violazione (es. non fornire i nomi dei soggetti interessati dalla violazione).
Il Garante per la privacy ha reso disponibile il nuovo modulo per la comunicazione dei data breach ovvero degli incidenti informatici che causano la perdita, la corruzione o la mancata integrità dei dati.
Il Modello notifica Data Breach è stato allegato al provvedimento del Garante 157 del 30 luglio 2019 e sostituisce il vecchio modulo, fornito dal servizio di privacy.
Come si legge nella circolare “I titolari di trattamento di dati personali sono tenuti a notificare al Garante le violazioni dei dati personali (data breach) che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell’ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati”.
Per consentire l’attività di accertamento del Garante, occorre tenere un elenco aggiornato delle violazioni subite, con il dettaglio delle circostanze e delle conseguenze. L’inventario deve adottare misure che ne garantiscano integrità ed immodificabilità.
La comunicazione della violazione al Garante deve avvenire in tempi molto rapidi e nei casi più gravi di violazioni è previsto l’obbligo di informare ciascun contraente coinvolto. La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendano inintelligibili i dati.
Si ricorda che la mancata compilazione del modulo, e il suo relativo invio, è soggetta a sanzioni.