Il Garante per la protezione dei dati personali, con proprio provvedimento “Provvedimento del Garante sulla notifica delle violazioni dei dati personali (data breach)” del 30 luglio 2019, ha inteso – in un’ottica di semplificazione del corretto adempimento degli obblighi amministrativi posti in capo al titolare del trattamento – intervenire su tempistiche ed informazioni da fornire al Garante in caso di violazione dei dati personali di cui all’art. 33 del Regolamento.
Si ricorda che per «violazione dei dati personali» si intende la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
In caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare tale evento al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Il provvedimento citato il Garante interviene al fine di chiarire il rapporto tra l’obbligo di cui al Regolamento UE 2016/679 e i diversi obblighi di notifica della violazione che, prima dell’entrata in vigore del Regolamento UE 2016/679, erano già stati disciplinati per specifici ambiti, in particolare:
- nel provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015;
- nelle linee guida in materia di Dossier sanitario del 4 giugno 2015;
- nel provvedimento generale prescrittivo in tema di biometria del 12 novembre;
- nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013, nonché nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011.
Nel provvedimento in parola il Garante dichiara anzitutto che le diverse informazioni da comunicare al Garante come previste nei provvedimenti e nelle linee guida sopra citati debbono intendersi eliminate e sostituite da quelle indicate dall’art. 33 del Regolamento UE 2016/679 (a riguardo propone un template da utilizzarsi scaricabile dal sito istituzionale).
Anche i diversi termini previsti nei provvedimenti e nelle linee guida summenzionati devono intendersi eliminati e sostituiti da quelli stabiliti dall’art. 33 del Regolamento, per cui una sola notifica attesa dal Garante dovrà essere effettuata dal titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza della violazione dei dati personali, con le modalità di cui all’art. 65 del d.lgs. 7 marzo 2005, n. 82 (recante il «Codice dell’amministrazione digitale»), mediante i sistemi telematici indicati nel sito istituzionale del Garante.
Per quanto al canale della notifica si segnala infine che il Garante ha indicato, nel proprio sito web, che essa va trasmessa tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso il Garante ricorda che la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario. Infine il Garante richiede che l’oggetto del messaggio contenga obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.