Pubblicato il modello del Garante Privacy sulla notifica delle violazioni dei dati personali
Il Garante per la protezione dei dati personali (“Garante Privacy”), in data 30 luglio 2019, ha emanato il provvedimento n. 157/2019 in tema di notifica delle violazioni di dati personali, anche note come Data Breach, contenente in allegato il nuovo modello per tale notifica.
Il citato provvedimento è stato adottato dal Garante Privacy in esecuzione dei compiti attribuiti a quest’ultimo dall’art. 57 co. 1 lett. d) del Regolamento Europeo 2016/679 (“GDPR”), in base al quale ogni autorità di controllo, sul proprio territorio, “promuove la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento”.
Il nuovo modello, allegato al provvedimento, potrà essere utilizzato per la notifica dei Data Breach, cui sono tenuti tutti i titolari del trattamento che siano venuti a conoscenza dell’avvenuta violazione di dati personali la quale comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell’ambito delle comunicazioni elettroniche, a meno che sia improbabile che tale violazione presenti un rischio per i diritti e le libertà degli interessati.
In particolare, alla lett. a) del provvedimento si dispone che: “i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, che forma parte integrante del presente provvedimento, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante”.
Peraltro, il Garante Privacy aveva già provveduto, in precedenza, ad adottare provvedimenti relativi a termini, contenuto e modalità di comunicazione delle violazioni di dati personali in diversi ambiti, quali la pubblica amministrazione e il settore bancario, i quali dovranno ritenersi eliminati e sostituiti dal provvedimento n. 157/2019, secondo quanto stabilito dalla lett. b) dello stesso.
Si segnala, in ogni caso, che nella pagina web del Garante Privacy dedicata al Data Breach (https://www.garanteprivacy.it/regolamentoue/databreach) si specifica che tale autorità renderà prossimamente disponibile una procedura online per notificare l’avvenuta violazione di dati. Prima di effettuare una notifica di Data Breach, pertanto, è opportuno verificare sul sito del Garante Privacy l’esistenza di eventuali aggiornamenti in merito.