Nella sua Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali l’Autorità Garante dichiara che la notifica della violazione di dati personali non è obbligatoria, ma lasciata alla valutazione dei Titolari…
In attesa delle relative Linee guida del WP 29 vediamo cosa dice la normativa.
Innanzi tutto cosa è una violazione di dati personali?
La definizione è presente nell’articolo 4 12:
«violazione dei dati personali»:la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
Quando è necessario notificare?
Così recita l’articolo 33 1:
1.In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza
È possibile non notificare solo se sussistono le seguenti circostanze:
a meno che sia IMPROBABILE che la violazione dei dati personali presenti un RISCHIO PER I DIRITTI E LE LIBERTÀ DELLE PERSONE FISICHE. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Per non notificare è quindi necessario valutare 2 cose:
- se come effetto della violazione possa esserci un rischio per i diritti e le libertà delle persone fisiche
- se tale rischio è PROBABILE oppure no.
Per quanto attiene i diritti e le libertà delle persone fisiche questi sono definite al considerando 75:
(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
La loro individuazione è quindi oggettiva, mentre meno oggettiva è la valutazione della probabilità ed è pertanto necessario aver definito una specifica procedura di valutazione.
Tuttavia questa non è la sola situazione che è possibile riscontrare.
La scoperta di una violazione può infatti avvenire perché si è rilevata:
- una violazione come tale (ad esempio la rottura/perdita/furto di un dispositivo di archiviazione)
- un effetto di una (potenziale) violazione (ad esempio una frode).
Nel primo caso ci si comporterà quindi come indicato più sopra, mentre nel secondo caso, se l’effetto rilevato è esso stesso uno dei rischi per i diritti e le libertà delle persone fisiche, come ad esempio una perdita economica derivante da una frode, non sarà necessario valutare una PROBABILITÀ di accadimento, in quanto l’evento è ovviamente accaduto.
In questo caso quello che è necessario verificare è se l’effetto rilevato derivi o meno da una violazione di dati personali (una frode ad esempio non necessariamente deriva da una violazione di dati personali).
Un titolare dovrà pertanto avere procedure e misure tecniche ben definite per:
- valutare se effettuare o meno una notificazione di violazione di dati personali:
- nel caso in cui abbia rilevato una violazione
- nel caso in cui abbia rilevato l’effetto di una possibile violazione
- effettuare la notificazione
- effettuare la gestione della violazione di sicurezza
ma soprattutto per EVITARE VIOLAZIONI di dati personali.
Nulla deve essere lasciato al caso in considerazione sia dello strettissimo tempo richiesto per effettuare la notifica, sia in un’ottica di accountability e quindi di capacità di rendicontare le proprie scelte ed il proprio operato.
Inoltre la mancata notifica, se dovuta, oltre ad essere autonomamente sanzionata costituisce una aggravante nel caso di valutazione del peso di una sanzione come previsto dall’art. 83 2 h:
la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
Vedi anche: Frodi e GDPR