In caso di violazione dei dati personali il responsabile del trattamento deve informare il titolare “senza ingiustificato ritardo” successivamente all’avvenuta conoscenza della violazione.
Notifica della violazione al Garante della Privacy
Il titolare del trattamento dovrà notificare la violazione all’Autorità di controllo, ovvero il nostro Garante privacy “senza ingiustificato ritardo” e, se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. La comunicazione non va effettuata se è molto improbabile che tale violazione sia un rischio per i diritti e le libertà delle persone fisiche.
Se la notifica al Garante della privacy avviene dopo 72 ore, magari successivamente ad una prima valutazione negativa sui rischi, dovrà essere corredata delle motivazioni circa l’esecuzione dell’adempimento in ritardo.
Secondo il Regolamento UE la notifica al Garante della privacy dovrà almeno avere le seguenti caratteristiche, ovvero:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il
numero approssimativo di registrazioni dei dati personali in questione; - comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del
trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso,
per attenuarne i possibili effetti negativi.
In caso di impossibilità di una prima notifica esaustiva al Garante, dovuta alla complessità dell’azienda e alle sue dimensioni o alla necessità di più tempo per appurare l’accaduto rispetto alle 72 ore, le informazioni potranno essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
Se in caso di violazione non è necessario effettuare la comunicazione al Garante, è comunque obbligatorio per il titolare del trattamento documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Sarà tale documentazione, infatti, a consentire all’Autorità di controllo di verificare il rispetto delle previsioni in materia di violazione dei dati.
Quando è necessario comunicare la violazione all’interessato?
Il GDPR prevede che quando la violazione dei dati personali è suscettibile di presentare
un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento
comunica la violazione all’interessato senza ingiustificato ritardo.
La comunicazione deve essere scritta con un linguaggio semplice e chiaro e spiegare la natura della violazione dei dati personali. Deve contenere come minimo:
• il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto
di contatto presso cui ottenere più informazioni;
• la descrizione delle probabili conseguenze della violazione dei dati personali;
• la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare
del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso,
per attenuarne i possibili effetti negativi.
La comunicazione all’interessato non è necessaria se:
• il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate
di protezione e tali misure erano state applicate ai dati personali oggetto della violazione,
in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque
non sia autorizzato ad accedervi, quali la cifratura;
• il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
• detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece
a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati
sono informati con analoga efficacia.
L’articolo è tratto dal nuovo libro
Il nuovo regolamento privacy
Aggiornato con lo schema di decreto per l’adeguamento della normativa nazionale alle disposizioni UE (approvato in CdM il 21 marzo 2018)La data del 25 maggio 2018 segna l’entrata in vigore del nuovo Regolamento UE 2016/679 ma non fuga dubbi interpretativi e di ordine pratico della nuova disciplina. Strutturato in forma di quesiti, il testo, in oltre 200 domande e risposte, esplica termini, modalità e obblighi derivanti dalla nuova disciplina, con qualche anticipazione su aspetti di rilievo contenuti nello schema di decreto legislativo recante le disposizioni per l’adeguamento della normativa nazionale al Regolamento. Completa il volume l’appendice normativa contenente i “considerando” e l’intero Regolamento.CARLO NOCERAAvvocato in Roma, dopo avere maturato un’esperienza accademica di oltre un lustro in “Diritto dell’informazione e della comunicazione” si occupa da diversi anni di questioni legali in materia di trattamento e protezione dei dati personali e di reati informatici. Collabora stabilmente con i più prestigiosi quotidiani giuridico-economici e svolge assidua attività di formazione per primarie Società di formazione nonché per Ordini professionali ed Enti istituzionali.
Carlo Nocera | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento