Quando si può omettere la notifica al Garante di un evento di data breach?

L’art. 33  del GDPR impone al Titolare del trattamento la notifica al Garante di eventuali violazioni di dati personali (data breach) entro 72 ore da quando ne è venuto a conoscenza.

Nel corso del webinar organizzato da The Innovation Group su questo tema, sono state fornite utili indicazioni per ciascuna delle fasi caratteristiche di un evento di data breach che danno luogo alla procedura di notifica al Garante.

PRIMA FASE: fase di rilevazione dell’evento.

In questa fase, è opportuno raccogliere le evidenze e le segnalazioni del possibile evento di data breach derivanti da:

  • sistemi ICT;
  • clienti/utenti;
  • fornitori/outsourcer (particolarmente importante è determinare contrattualmente gli obblighi di questi soggetti nella rilevazione e gestione di data breach);
  • dipendenti, collaboratori, consulenti;
  • autorità pubbliche (Garante Privacy, Polizia Postale, etc.);
  • mezzi di comunicazione (giornali, blog, siti specializzati, etc.).

SECONDA FASE: fase di valutazione.

In questa fase deve essere effettuata l’analisi delle segnalazioni allo scopo di:

  1. rilevare se si tratta effettivamente di una violazione dei dati personali rilevante ex art. 33 GDPR;
  2. rilevare quali sistemi IT o processi operativi sono coinvolti;
  3. verificare le misure di sicurezza in essere;
  4. verificare quali tipologie di dati personali sono stati violati;
  5. valutare se vi sono “rischi” rilevanti ex art. 33 GDPR (che richiede la notifica al Garante) o “rischi elevati” nell’accezione di cui all’art. 34 GDPR (che richiede la notifica agli interessati) per i diritti e le libertà delle persone fisiche;
  6. determinare, pertanto, se è necessario procedere alla notifica al Garante (e ad altre Autorità);
  7. determinare se è necessario procedere alla notifica agli interessati;
  8. registrare la violazione e le azioni da adottare per porvi rimedio.

TERZA FASE: fase di notifica

Qualora si ravvisi un’ipotesi di “rischio” per i diritti e le libertà delle persone, la notifica al Garante – che, come detto, deve essere fatta, entro 72 ore da quando si ha conoscenza della violazione – deve contenere (contenuto minimale):

  1. la descrizione della natura della violazione, delle categorie degli interessati e dei dati nonché dell’ampiezza della violazione;
  2. i riferimenti del DPO o di chi ha la gestione dell’evento;
  3. l’indicazione delle possibili conseguenze della violazione;
  4. l’indicazione delle misure di sicurezza applicate e quali soluzioni sono state aggiunte per ridurre e limitare l’impatto sugli interessati.

Non è, invece, necessaria la notifica da parte del Titolare del trattamento se non vi sono “rischi” o “rischi elevati” per i diritti e le libertà degli individui e, cioè, quando:

  • i dati sono illeggibili o inintelligibili;
  • è stato effettuato un restore tempestivo dei dati andati persi per un guasto del supporto;
  • si è posto rimedio alla violazione prima che potesse originare rischi;
  • i dati violati hanno poca significatività (ad esempio, perché si tratta di un elenco con solo nome e cognome);
  • la notifica individuale richiede sforzi sproporzionati. In questi casi, è consigliabile, comunque, effettuare una comunicazione pubblica.

E’, comunque, importante tenere presente che, anche qualora non si debba procedere alla notifica, è indispensabile mantenere un “inventario delle violazioni”, dove registrare tutti gli eventi di data breach, anche quelli che non hanno richiesto la notifica al Garante o agli interessati, e ciò ai fini di apprendimento per il futuro, in ossequio al principio di accountability.

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Privacy, Strumenti per il business e contrassegnata con , , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!