Modello Data Breach: segnalazione violazioni dei dati personali
Con il provvedimento n. 157 del 30 luglio 2019, il Garante della privacy rilascia il nuovo modello per la segnalazione dei data breach, ovverosia degli incidenti, informatici e non, da cui sia derivata una violazione dei dati personali.
Vengono integralmente sostituiti i modelli previsti nella pronuncia sullo scambio dei dati tra amministrazioni pubbliche del 2 luglio 2015, quelli nelle linee guida sul Dossier sanitario del 4 giugno 2015, nel provvedimento generale prescrittivo sulla biometria del 12 novembre 2014, nel provvedimento sulla comunicazione delle violazioni di dati del 4 aprile 2013, nonché quelli contenuti nel provvedimento sulla circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011.
Mentre, sino ad ora, solo alcune categorie di operatori erano tenute a notificare gli eventi di smarrimento, furto o modifica illecita dei dati, con il GDPR ad esser coinvolti sono tutti gli operatori, privati e pubblici, che effettuano trattamenti di dati personali.
Tre sono i tipi di violazioni possibili:
- diffusione o accesso non autorizzato o accidentale (viene toccata la confidenzialità del dato);
- modifica non autorizzata o accidentale (riguarda la sfera dell’integrità);
- impossibilità di accesso, perdita, distruzione non autorizzata o accidentale (concernono la disponibilità del dato).
Il modulo richiede che il singolo episodio sia riportato alla macrocategoria e segnalato. Vi sono spazi in cui descrivere compiutamente l’incidente di sicurezza, le categorie di dati personali violati, i sistemi e le infrastrutture IT coinvolti, con indicazione della loro ubicazione e le misure di sicurezza tecniche e organizzative adottate per ripristinare la salvaguardia e prevenire problematiche future. Sarà, inoltre, necessario indicare il tipo di dati implicati ed il loro numero, i potenziali danni per gli interessati (danni economici, reputazionali, furti di identità), l’eventuale comunicazione effettuata loro con dettaglio sui canali utilizzati ed il contenuto o, qualora sia mancata, la motivazione a giustificarne l’assenza.
Il modulo compilato deve essere inviato al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) oppure con firma autografa. In quest’ultimo caso, la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.
L’oggetto del messaggio deve contenere obbligatoriamente la dicitura «notifica violazione dati personali» e opzionalmente la denominazione del titolare del trattamento.
Il modulo si può scaricare dal seguente link: https://www.garanteprivacy.it/documents/10160/0/Modello+notifica+Data+Breach.pdf/6d1fa433-88dc-2711-22ab-dd5d476abe74?version=1.1
Lascia un Commento
Vuoi partecipare alla discussione?Fornisci il tuo contributo!