PRIVACY E TRASPARENZA

Data breach notification

Art. 33 e 34 reg. UE 2016/679

Il GDPR prevede che tutti i Titolari dovranno notificare all'Autorità di controllo e, eventualmente, agli interessati la violazione di dati personali (conosciuta anche come data breach). Il GDPR, quindi, introduce il diritto degli interessati ad essere informati delle violazioni relative ai propri dati personali.

Tutti i Titolari del trattamento (pubblici e privati) in caso di irregolarità nell’utilizzo dei dati personali che detengono, senza ingiustificato ritardo e, ove possibile, entro e non oltre 72 ore dopo esserne venuti a conoscenza, hanno l’obbligo di notificare al Garante e agli interessati la violazione. Se è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, la notifica all'autorità di controllo non è richiesta. Mentre l'art. 34 GDPR precisa che l'obbligo di notifica agli interessati grava sul Titolare solo se la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Indipendentemente dagli obblighi di notifica suddetti, il Titolare del trattamento deve comunque conservare la documentazione delle violazioni (art. 33, paragrafo 5 GDPR). Il compito di tenere tali registri potrebbe essere affidato al RPD, come suggerito dal Gruppo di lavoro art. 29.

Gli articoli 33 e 34 del GDPR  disciplinano rispettivamente l’obbligo in capo al titolare del trattamento di portare a conoscenza il Garante del verificarsi di una violazione di sicurezza, la tipologia della stessa, le misure adottate e le prevedibili conseguenze e (l’art 34) l’obbligo di comunicazione all’interessato del verificarsi di una violazione di sicurezza. Da una lettura coordinata degli articoli 33 e 34 del GDPR è possibile comprendere come la procedura da seguire in caso di violazione si comporrà di due momenti: in primo luogo, subito dopo la venuta a conoscenza della violazione, il titolare adotterà le contromisure e ne darà comunicazione al Garante entro 72 ore. La seconda fase è caratterizzata dalla comunicazione all’interessato dell’avvenuta violazione.

Per approfondimenti si rinvia alle Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679, adottate il 3 ottobre 2017, versione emendata e adottata in data 6 febbraio 2018.