gdpr privacy

Manca poco più di un mese all’entrata in vigore del GDPR, dopo aver analizzato la figura del DPO, oggi ci occupiamo del comportamento da tenere da parte del titolare e del responsabile del trattamento dei dati personali in caso di violazione, sulla base della nuova normativa UE.

In caso di violazione dei dati personali il responsabile del trattamento deve informare il titolare “senza ingiustificato ritardo” successivamente all’avvenuta conoscenza della violazione.

Notifica della violazione al Garante della Privacy

Il titolare del trattamento dovrà notificare la violazione all’Autorità di controllo, ovvero il nostro Garante privacy “senza ingiustificato ritardo” e, se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. La comunicazione non va effettuata se è molto improbabile che tale violazione sia un rischio per i diritti e le libertà delle persone fisiche.

Se la notifica al Garante della privacy avviene dopo 72 ore, magari successivamente ad una prima valutazione negativa sui rischi, dovrà essere corredata delle motivazioni circa l’esecuzione dell’adempimento in ritardo.

Secondo il Regolamento UE la notifica al Garante della privacy dovrà almeno avere le seguenti caratteristiche, ovvero:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il
    numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del
    trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso,
    per attenuarne i possibili effetti negativi.

In caso di impossibilità di una prima notifica esaustiva al Garante, dovuta alla complessità dell’azienda e alle sue dimensioni o alla necessità di più tempo per appurare l’accaduto rispetto alle 72 ore, le informazioni potranno essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

Se in caso di violazione non è necessario effettuare la comunicazione al Garante, è comunque obbligatorio per il titolare del trattamento documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Sarà tale documentazione, infatti, a consentire all’Autorità di controllo di verificare il rispetto delle previsioni in materia di violazione dei dati.

Quando è necessario comunicare la violazione all’interessato?

Il GDPR prevede che quando la violazione dei dati personali è suscettibile di presentare
un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento
comunica la violazione all’interessato senza ingiustificato ritardo.

La comunicazione deve essere scritta con un linguaggio semplice e chiaro e spiegare la natura della violazione dei dati personali. Deve contenere come minimo:
• il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto
di contatto presso cui ottenere più informazioni;
• la descrizione delle probabili conseguenze della violazione dei dati personali;
• la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare
del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso,
per attenuarne i possibili effetti negativi.

La comunicazione all’interessato non è necessaria se:
• il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate
di protezione e tali misure erano state applicate ai dati personali oggetto della violazione,
in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque
non sia autorizzato ad accedervi, quali la cifratura;
• il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
• detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece
a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati
sono informati con analoga efficacia.

L’articolo è tratto dal nuovo libro

Il nuovo regolamento privacy

Il nuovo regolamento privacy

Carlo Nocera, 2018, Maggioli Editore

L’avvento del nuovo GDPR rappresenta una svolta epocale per il mondo della privacy, soprattutto in virtù del ripensato approccio alla materia, che prevede il passaggio da un regime autorizzatorio a quello di responsabilizzazione dei diversi attori operanti sulla scena del trattamento e della...



© RIPRODUZIONE RISERVATA


SCRIVI UN COMMENTO

Scrivi il tuo commento!
Inserisci il tuo nome