Speciale GDPR - Office Automation

SPECIALE GDPR

dicembre 2017

prosegue a pagina 72

Lo scopo dell’introduzione di questo requisito, che ri-

sulterà nuovo per la maggior parte delle realtà, è evi-

tare che la violazione venga insabbiata: celarne la no-

tizia potrebbe aumentare gli effetti negativi in quanto

impedisce la reazione tanto dell’interessato, tanto delle

autorità competenti.

È necessario quindi che ogni violazione dei dati perso-

nali venga gestita non appena possibile per evitare o li-

mitare il verificarsi di danni fisici, materiali o immateriali

agli interessati.

Pertanto, non appena sia possibile stabilire con un ragio-

nevole grado di sicurezza che la violazione è avvenuta, il

titolare del trattamento è tenuto a notificarla all’autori-

tà di controllo competente, senza ingiustificato ritardo

e, ove possibile, entro 72 ore dal momento in cui ne è

venuto a conoscenza.

Circa il contenuto di questa denuncia, il comma 3 dell’art.

33 GDPR contiene la descrizione di un contenuto mini-

mo della violazione (natura, categoria interessata, con-

seguenze probabili, misure per porvi rimedio ecc.).

Quando va sempre fatta laValutazione di impatto sulla protezione dei dati (DPIA)

Ai sensi dell’art. 35 comma 3 GDPR, a prescindere dall’elemento del rischio, la Valutazione di impatto sulla protezione dei dati, (nota

anche con l’acronimo DPIA delle parole inglesi Data Privacy Impact Assessment) va comunque espletata in tre casi ben delineati.

Si tratta delle ipotesi in cui il trattamento:

- implichi una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato,

compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente

su dette persone fisiche;

- consista nel trattamento, su larga scala, di categorie particolari di dati personali (articolo 9, paragrafo 1, e art. 10 GDPR)

- consista in una sorveglianza sistematica e su larga scala di una zona accessibile al pubblico.

Un processo in più fasi

Il GDPR comunque riconosce l’eventualità che una de-

scrizione completa ed esauriente della violazione possa

non essere disponibile in un così breve lasso di tempo,

per cui è previsto un meccanismo di denuncia ‘a fasi’.

Sarà pertanto possibile fornire elementi di massima en-

tro il termine delle 72 ore e completare la notifica in un

secondo momento, purché nel frattempo il titolare si

attivi per contenere e gestire la situazione.

La comunicazione all’interessato

Oltre alla notifica all’autorità, il titolare del trattamen-

to ha l’onere ulteriore di comunicare all’interessato la

violazione dei dati personali qualora la violazione pos-

sa presentare un rischio elevato per i diritti e le libertà

della persona fisica o quando vi sia un ordine dell’auto-

rità competente.

La comunicazione all’interessato non è necessaria se, a

monte, il titolare aveva messo in atto misure tecniche e

organizzative di protezione adeguate (come per esem-

pio la cifratura) e tali misure erano state applicate ai

dati in questione, o se successivamente alla violazione

ha adottato misure atte a scongiurare il sopraggiungere

di un elevato rischio per i diritti e le libertà.

Laddove la comunicazione al singolo dovesse rivelarsi

troppo onerosa, il titolare può procedere per comuni-

cazione pubblica.

Accordi tra titolare e responsabile e policy

Dal punto di vista organizzativo, l’art. 33 impone quindi

al titolare del trattamento dei dati l’implementazione

di una policy di gestione degli eventi pregiudizievoli che

parta innanzitutto dal saper riconoscere una violazio-

ne, passando per il suo contenimento e l’individuazione

dei rischi connessi, fino a gestire la notifica all’autorità

e agli interessati.

Anche il responsabile del trattamento dei dati ha l’obbligo

di pronta comunicazione al titolare di una avvenuta vio-

lazione e pertanto sarà necessario gestire anche questo

passaggio all’interno degli accordi con il responsabile e

nella policy di gestione delle violazioni.