NEWS

Data Breach: come fare il registro delle violazioni

Nel caso di violazioni dei dati personali il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista) senza indebiti ritardi e, se possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

In ogni caso il titolare del trattamento, a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Come ha spiegato il WP29, nelle Linee guida “WP250” sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679. il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni, indipendentemente dal fatto che sia tenuto a effettuare la notifica o meno.

Sebbene spetti al titolare del trattamento determinare quale metodo e struttura utilizzare per documentare una violazione, determinate informazioni chiave dovrebbero essere sempre incluse. Ad esempio il titolare del trattamento è tenuto a registrare i dettagli relativi alla violazione, comprese le cause, i fatti e i dati personali interessati. Dovrebbe altresì indicare gli effetti e le conseguenze della violazione e i provvedimenti adottati per porvi rimedio.

Per agevolare i titolari del trattamento, Federprivacy ha elaborato uno schema-tipo di registro delle violazioni, recante in maniera il più possibile fedele gli elementi richiesti dalla normativa. Il modello è scaricabile nell'area download per utenti ed associati.

Il Regolamento UE non specifica un periodo di conservazione della documentazione, pertanto spetta al titolare del trattamento stabilire il periodo appropriato di conservazione: dovrà conservare la documentazione, nella misura in cui può essere chiamato a fornire prove all’autorità di controllo in merito al rispetto di tale articolo oppure, più in generale, del principio di responsabilizzazione.

Non si dimentichi, infine, che, sempre richiamando le citate Linee Guida, sarebbe vantaggioso tanto per il titolare del trattamento quanto per il responsabile del trattamento disporre di una procedura di notifica documentata, che stabilisca la procedura da seguire una volta individuata una violazione, compreso come contenere, gestire e porre rimedio all’incidente, valutare il rischio e notificare la violazione. A questo proposito, per dimostrare il rispetto del regolamento potrebbe anche essere utile dimostrare che i dipendenti sono stati informati dell’esistenza di tali procedure e meccanismi e che sanno come reagire alle violazioni.

La mancata corretta documentazione di una violazione può comportare l’esercizio da parte dell’autorità di controllo dei suoi poteri ai sensi dell’articolo 58 Gdpr e l’imposizione di una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 Gdpr.

Note Autore

Antonio Ciccia Messina Antonio Ciccia Messina

Professore a contratto di "Tutela della privacy e trattamento dei dati Digitali” presso l'Università della Valle d’Aosta. Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole.

Prev A San Marino il 29 marzo è Gdpr Day
Next Il Corso di Data Protection dell'Università di Milano con i crediti per i Privacy Officer certificati TÜV Italia e il patrocinio di Federprivacy

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy