Un nuovo provvedimento del Garante sulla notifica delle violazioni dei dati personali (data breach)

Nella seduta del 30 luglio scorso il Garante per la protezione dei dati personali ha emanato il provv. n. 157 che ha lo scopo di riordinare la procedura per la segnalazione della violazioni in materia di trattamento dei dati personali (data breach).

Nel provvedimento si precisa che per «violazione dei dati personali» si intende la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4, punto 12 del Regolamento; art. 2, comma 1, lett. m, del d.lgs. n. 51/2018). E si evidenzia che in caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare tale evento al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (artt. 33 e 55 del Regolamento, art. 2-bis del Codice).

Inoltre, il titolare del trattamento è tenuto altresì a notificare la violazione dei dati personali al Garante con le modalità di cui all’art. 33 del Regolamento anche con riferimento al trattamento  effettuato a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, salvo che il trattamento medesimo sia effettuato dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, nonché di quelle giudiziarie del pubblico ministero (artt. 26 e 37, comma 6, del d.lgs. n. 51/2018);

Il provvedimento viene, quindi,  adottato ” in un’ottica di semplificazione del corretto adempimento degli obblighi amministrativi posti in capo al titolare del trattamento, indicare le informazioni da fornire al Garante, in caso di violazione dei dati personali, nella notifica di cui all’art. 33 del Regolamento, le quali sono individuate nell’allegato modello,”

Peraltro, alla luce dell’art. 33 del Regolamento, le diverse informazioni da comunicare al Garante come previste nei provvedimenti e nelle linee guida precedenti devono intendersi eliminate e sostituite da quelle indicate nel paragrafo 3 del medesimo articolo e nel provvedimento adesso emanato.

Il provvedimento, in particolare, dispone che:

a) i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, che forma parte integrante del presente provvedimento, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante;

b) i termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali indicati nel provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 (punto 1), nelle linee guida in materia di Dossier sanitario del 4 giugno 2015 (punto 2), nel provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 (punto 2);  nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013, nonché nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011 (punto 5.2), si intendono eliminati e sostituiti dalla lett. a) del presente provvedimento, secondo i termini di cui in motivazione.

testo del provvedimento