Notificare via PEC al Garante la Violazione dei Dati Personali

A volte purtroppo ci imbattiamo in situazioni spiacevoli come il data breach e la fuga di dati, secondo quanto stabilito dal regolamento europeo con l’articolo 4 si stabilisce una violazione dei dati personali, anche chiamata data breach, così “ la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizza o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. È perciò da considerarsi un vero e proprio attacco informato che a volte in casi estremi può verificarsi in modo incidentale come quando c’è un incendio o altre problematiche di tipo naturale. Quando ci troviamo perciò di fronte alla perdita dei dati personali di qualcuno dobbiamo valutare il rischio e i possibili effetti dannosi che questo comporta per tutte le persone coinvolte. 

Data Breach: come valutare il rischio?

La valutazione del rischio è da eseguire con una serie di parametri prestabiliti, come ad esempio:

• Tipo di violazione 
• Natura e volume dei dati personali
• Facilità di identificazione degli interessati
• Gravità delle conseguenze 
• Particolarità che riguardano gli interessati come ad esempio se si tratta di minori.
• Particolarità dei responsabili del trattamento ad esempio se si è personale sanitario, bancario eccetera. 
• Numero degli interessati.

Una volta eseguita la valutazione del rischio si procede con la notifica della violazione al Garante. 

Come avviene la notifica al Garante?

Secondo quanto stabilito dall’art. 33 del GDPR quando si manifestano situazione di data breach e fuga dei dati il responsabile del trattamento dovrà avvertire il titolare del trattamento dell’avvenuta violazione. Il titolare del trattamento si occuperà di notificare la vicenda alle autorità di controllo a meno che la perdita o la violazione dei dati personali non presenti alcun tipo di rischio verso i diritti o le libertà di una persona fisica. La notifica deve avvenire entro 72 ore dal momento in cui si è venuti a conoscenza della violazione dei dati, se la notifica non arriva entro questo lasso di tempo allora il titolare dovrà darne motivazioni. La notifica può essere eseguita dal responsabile solo se con gli accordi presi in precedenza si sia stabilito così. 

Cosa deve contenere la notifica?

La notifica dovrà indicare la natura della violazione dei dati, il numero degli interessati. All’interno dovrà anche essere comunicato nome e contatti del responsabile della protezione dei dati per poter reperire ulteriori informazioni se necessario. Descrivere le possibili conseguenze di tale violazione e le misure che si sono adottate e/o si intende adottare per porre rimedio. La notifica è da fare via PEC all’indirizzo protocollo@pec.gdpr.it con oggetto “notifica violazione dati personali”.  

La comunicazione agli interessati è prevista solo nei casi più gravi in tutti gli altri casi non è obbligatoria.