Data Breach, il Garante privacy lancia un nuovo modello di notifica
Che cosa cambia?
La gestione di un Data breach costituisce un tassello importante nella trama operativa della Data Protection, che spesso incontra difficoltà nella identificazione delle corrette modalità procedurali di comunicazione e notificazione all’autorità di controllo. Il GDPR prevede che in caso di Data breach, e dunque di violazione dei dati personali, il titolare del trattamento:
- È tenuto a notificare l’evento al Garante senza ingiustificato ritardo, e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche;
- Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve altresì fornire adeguata comunicazione a tutti gli interessati, utilizzando a tal scopo i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
La gestione del Data breach, tuttavia, non si esaurisce nel predisporre le opportune comunicazioni e/o notificazioni: il titolare del trattamento, infatti, a prescindere dalla notifica al Garante, è tenuto a documentare tutte le violazioni dei dati personali, predisponendo un apposito registro; tale documentazione potrà costituire, successivamente, l’oggetto delle attività ispettive svolte dall’Autorità, nel corso delle eventuali verifiche sul rispetto della normativa.
Con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha introdotto un nuovo modello ufficiale, contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).
Alla luce delle nuove prescrizioni, tutti i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante.
Come aggiornarsi? Hedya propone percorsi di formazione e aggiornamento
Il recente provvedimento del Garante per la protezione dati dimostra che la disciplina della protezione dati non si esaurisce nella mera conoscenza della normativa europea e nazionale, ma richiede costanti interventi di aggiornamento sulle più recenti prassi applicative.
Per tali ragioni, Hedya propone:
- percorsi di formazione e aggiornamento;
- percorsi di approfondimento e perfezionamento;
- servizi di consulenza per verificare la conformità al GDPR.
Si segnalano, per i percorsi formativi e di aggiornamento:
- Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per ottenere un’adeguata formazione in materia di gestione dei dati personali;
- Corso “DPO: DATA PROTECTION OFFICER”, per intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche del Data Protection Officer.
Ulteriori informazioni sono disponibili qui.