29

innovazione.PA

|

01-02/2018

| ANNO XV GENNAIO - FEBBRAIO

Denuncia dei data breach

entro 72 ore

Con l’art. 33 il GDPR chiarisce l’obbligo di segnalare

tempestivamente episodi di violazione dei dati custoditi.

In via generale diventa obbligatorio comunicare all’Autorità

Competente eventuali data breach, e in determinati casi

sarà necessario comunicare le violazioni di dati personali

all’interessato ossia, tutte quelle violazioni di sicurezza

che comportano accidentalmente o in modo illecito la

distruzione, la perdita, la modifica, la divulgazione non

autorizzata o l’accesso ai dati personali trasmessi, conservati

o comunque trattati (art. 4 c.2 GDPR).

La direttiva 95/46/CE non conteneva specifiche indicazioni

per la gestione di tali eventualità e, pertanto, ogni Stato

membro si era organizzato a livello interno in modo del

tutto autonomo. L’ordinamento italiano, per esempio,

conosce attualmente alcune ipotesi specifiche di obbligo

di notificazione delle violazioni personali, come nel settore

delle comunicazioni elettroniche, della biometria, dei

trattamenti sanitari e dei trattamenti di dati effettuati da

enti pubblici.

Lo scopo dell’introduzione di questo requisito è evitare che

la violazione venga insabbiata.

Tenere nascosta la notizia potrebbe aumentare gli effetti

negativi dell’evento, impedendo la reazione dell’interessato e

delle autorità competenti.

È necessario quindi che ogni violazione dei dati personali venga

gestita non appena possibile, per evitare o limitare il verificarsi

di danni fisici, materiali o immateriali agli interessati.

Pertanto, non appena sia possibile stabilire con un

ragionevole grado di sicurezza che la violazione è avvenuta,

il titolare del trattamento è tenuto a notificarla all’autorità

di controllo competente, ove possibile, entro 72 ore

dal momento in cui ne è venuto a conoscenza. Circa il

contenuto di questa denuncia, il comma 3 dell’art. 33

GDPR contiene la descrizione di un contenuto minimo

della violazione (natura, categoria interessata, conseguenze

probabili, misure per porvi rimedio ecc.)

Il GDPR, comunque, riconosce l’eventualità che una

descrizione completa ed esauriente della violazione possa

non essere disponibile in un così breve lasso di tempo, per

cui è previsto un meccanismo di denuncia per gradi.

Pertanto, entro il termine di 72 ore sarà possibile fornire gli

elementi di massima e completare la notifica in un secondo

momento, purché nel frattempo il titolare si attivi per

contenere e gestire la situazione.

Oltre alla notifica all’Autorità, il titolare del trattamento ha

l’onere ulteriore di comunicare all’interessato la violazione

dei dati personali, nel caso che questa possa presentare un

rischio elevato per i diritti e le libertà della persona fisica o

quando vi sia un ordine dell’autorità competente.

La comunicazione all’interessato non è necessaria se, a

monte, il titolare aveva messo in atto misure tecniche e

organizzative di protezione adeguate (come per esempio

la cifratura) e tali misure erano state applicate ai dati in

questione o, se successivamente alla violazione, ha adottato

misure atte a scongiurare il sopraggiungere di un elevato

rischio per i diritti e le libertà.

Laddove la comunicazione al singolo dovesse rivelarsi troppo

onerosa, il titolare potrà procedere per comunicazione pubblica.

La policy di gestione degli eventi

Dal punto di vista organizzativo, l’art. 33 impone al titolare

del trattamento dei dati l’implementazione di una policy di

gestione degli eventi pregiudizievoli che parta innanzitutto

dal saper riconoscere una violazione, passando per il suo

contenimento e per l’individuazione dei rischi connessi, fino

a gestire la notifica all’autorità e agli interessati. Anche il

responsabile del trattamento dei dati ha l’obbligo di pronta

comunicazione al titolare di una avvenuta violazione e,

pertanto, sarà necessario gestire anche questo passaggio

all’interno degli accordi con il responsabile e della policy di

gestione delle violazioni.

!