• Home
  • COCUZZA&ASSOCIATI: Il nuovo regolamento europeo in materia di protezione dei dati personali: data breach

News Legali

COCUZZA&ASSOCIATI: Il nuovo regolamento europeo in materia di protezione dei dati personali: data breach

cocuzza.jpg

di Marta Margiocco

Nell’ambito dell’analisi, iniziata nella newsletter dello scorso febbraio, delle principali novità introdotte dal regolamento 2016/679 in materia di protezione dei dati personali, direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018, ci si sofferma questa volta sugli adempimenti gravanti sul titolare del trattamento in caso di violazione di dati personali.

Il regolamento 2016/679 pone infatti in capo al titolare del trattamento specifici obblighi, assenti nel Codice della Privacy, per il caso in cui si verifichi, accidentalmente o in modo illecito, una violazione di dati, ovvero la perdita, la divulgazione non autorizzata o l’accesso a dati personali trattati dallo stesso. Si tratta di eventi che, se non correttamente gestiti, possono causare danni anche significativi ai soggetti cui i dati si riferiscono e che, per questo motivo, hanno oggi una disciplina specifica.

Sono in particolare due gli obblighi del titolare del trattamento in caso di violazione di dati introdotti dal regolamento 2016/679: la notifica della violazione al Garante per la protezione dei dati personali (che - come vedremo - è sempre necessaria) e la comunicazione della violazione all’interessato, ovvero al soggetto i cui dati sono stati oggetto di violazione (che invece è solo eventuale).

Entrambi gli obblighi sono posti esclusivamente a carico del titolare del trattamento e non anche del responsabile; il regolamento prevede tuttavia che il responsabile, qualora venga a conoscenza di una violazione, debba informare il titolare senza ingiustificato ritardo.

Con riferimento al primo dei due adempimenti, l’articolo 33 del regolamento prevede che qualora si verifichi una violazione di dati il titolare del trattamento debba, senza ingiustificato ritardo e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza, informare l’autorità di controllo e pertanto, il Garante per la protezione dei dati personali, notificando la violazione dei dati.

Obiettivo di questo nuovo obbligo a carico del titolare del trattamento è ovviamente quello di fare in modo che, in caso di violazione dei dati, l’Autorità possa valutarne la gravità e quindi eventualmente prendere e imporre al titolare le necessarie misure.

L’unica eccezione all’obbligo di notifica al Garante sussiste, secondo quanto previsto dall’articolo 33 del regolamento, quando è improbabile che la violazione di dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Valutazione non semplice che spetta al titolare del trattamento, in applicazione del principio di responsabilizzazione che ispira il regolamento.

Circa il contenuto della notificazione al Garante, il regolamento prevede che essa debba: descrivere la natura della violazione (e quindi tra l’altro categorie e numero di interessati in questione), comunicare i dati di contatto del soggetto cui richiedere maggiori informazioni e descrivere le conseguenze della violazione di dati e le misure adottate per porvi rimedio. Non è escluso che il Garante predisponga un modello precompilato, per facilitarne sia la trasmissione sia l’esame da parte del Garante stesso.

Accanto all’obbligo di notificazione al Garante l’articolo 33 del regolamento prevede poi che il titolare del trattamento debba documentare in forma scritta qualsiasi violazione di dati personali, precisando i provvedimenti adottati per porvi rimedio, in modo che il Garante possa verificare il rispetto degli adempimenti a carico del titolare in caso di violazione di dati.

Veniamo ora al secondo obbligo posto a carico del titolare in caso di violazione di dati, ovvero la comunicazione all’interessato.

L’articolo 34 del regolamento prevede che in caso di violazione di dati, il titolare del trattamento debba trasmettere una comunicazione all’interessato. Non è in questo caso previsto un termine specifico entro il quale tale comunicazione debba avvenire: la norma si limita a precisare che tale comunicazione deve avvenire “senza ingiustificato ritardo”. La finalità di tale comunicazione è quella di consentire all’interessato di esercitare i propri diritti ed eventualmente di adottare contromisure idonee a mitigare i danni provocati dalla violazione.

La comunicazione all’interessato deve essere resa “con un linguaggio semplice e chiaro” e il suo contenuto è sostanzialmente analogo a quello della notificazione al Garante.

Se però la notificazione al Garante è in sostanza sempre necessaria (con l’unica eccezione, alquanto vaga, citata sopra) in caso di violazione di dati, non è così per la comunicazione all’interessato. Il regolamento prevede infatti alcune eccezioni all’obbligo di comunicazione all’interessato della violazione di dati; in particolare, la comunicazione non è necessaria qualora: (i) il titolare del trattamento aveva applicato ai dati oggetto di violazione misure tali da renderli incomprensibili; (ii) il titolare del trattamento ha successivamente adottato misure che escludono il sopraggiungere di un rischio elevato per gli interessati; (iii) la comunicazione richiederebbe sforzi spropositati, caso per il quale è consentito procedere con comunicazione pubblica o misura simile. La violazione di dati personali potrebbe infatti riguardare numeri anche molto elevati di interessati e in questo caso la comunicazione specifica potrebbe essere troppo onerosa e, in ogni caso, molto difficile.

Al fine di adempiere agli obblighi sopra descritti sarà necessario che le imprese introducano procedure interne volte a gestire l’evenienza di violazioni di dati personali e, tra l’altro, a fare in modo che il titolare sia messo nella condizione di venirne a conoscenza. Questo anche perché le sanzioni previste dal regolamento, in caso di inadempimento del titolare all’obbligo di notifica al Garante e di comunicazione all’interessato, sono severe: si tratta di una sanzione amministrativa pecuniaria fino a 10 milioni di euro e, in caso di imprese, fino al 2% del fatturato mondiale, se superiore.  

 

www.cocuzzaeassociati.it

Icono economia blanco
 

Informazione
Economica e Politica