A seguito di una violazione dati (data breach), il titolare è obbligato a rivolgersi al Garante della Privacy e comunicare l’accaduto per via telematica. Non comunicare al Garante la violazione dati, che siano personali, di terzi, amministrativi o aziendali, potrebbe portare a sanzioni; la notifica deve essere effettuata entro 72 ore dal momento in cui si è constatata la violazione dati.
A chi comunicare la violazione dati, data breach
Il responsabile del trattamento dati incaricato in azienda deve segnalare al titolare la violazione dati: questo è il primo passo. Una volta che il Data Breach è stato constatato, il titolare ha quindi l’obbligo e l’onore di comunicare l’accaduto al Garante entro le 72 ore, altrimenti dovrà fornire una valida giustificazione del ritardo.
La violazione dati va segnalata al Garante della Privacy mediante la compilazione del modulo di notifica: “violazione dei dati personali (Data Breach) art. 33 del Regolamento UE 2016/679 – art. 26 del D.Lgs 51/2018”. Per inviarla al Garante è quindi necessario connettersi al sito ufficiale con firma digitale, tramite SPID e metodi simili, e compilare il sopracitato modulo.
La procedura di compilazione richiede innanzitutto che la persona fisica autentica “si assuma la responsabilità, ai sensi dell’art. 168 del Codice o dell’art. 44 del Decreto”. Ciò è richiesto perché “la persona fisica possa effettuare la notifica in nome e per conto del titolare del trattamento”, il quale è generalmente una persona giuridica.
Come compilare il modulo di notifica
Non è soltanto necessario comunicare la violazione dati, bensì farlo nel modo corretto. Nel sito del Garante è infatti presente una guida ufficiale e un’ulteriore supporto è dato dal fac simile del modulo di notifica con note al margine. Il modulo fac simile non deve essere inviato al Garante, il quale è riconoscibile delle note al margine in giallo presenti nelle pagine, ma bensì esiste un modulo di notifica ufficiale.
Come anticipato, una volta identificati come persona fisica tramite firma digitale, scaricate il modulo di notifica .pdf in formato CAdES-BASELINE-B (estensione p7m). Compilate il modulo nel modo più esaustivo possibile, correlando eventuali allegati. Nel caso in cui non doveste accedere all’area in cui scaricare il modulo di notifica, verificate che il vostro browser sia aggiornato e appartenga alla piattaforma Google Chrome, Firefox, Safari oppure Microsoft Edge.
Il file del modulo di notifica compilato e inviato sarà valutato dal Garante. In particolar modo sarà confermata l’identità della persona fisica: la guida ufficiale suggerisce di non invertire nome e cognome nella compilazione. Ulteriori istruzioni sulla procedura di notifica saranno fornite via email (ordinaria es. mariorossi@gmail.com), oppure per via posta certificata. In quest’ultimo caso assicuratevi che la casella email PEC sia abilitata alla ricezione.
Le azioni del Garante dopo la notifica
Non rivolgersi al Garante né comunicare la violazione dati può portare a delle conseguenze. Nel sito ufficiale, si legge che “il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale”.
È quindi buona norma rivolgersi a un Legal Advisor, un avvocato specializzato nella normativa GDPR e di trattamento del dato. Tale figura può guidare le aziende e liberi professionisti nella tutela preventiva e nel rivolgersi in modo corretto al Garante.
La tua opinione è importante