{"id":3003,"date":"2017-06-07T15:29:53","date_gmt":"2017-06-07T13:29:53","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=3003"},"modified":"2017-06-07T15:29:53","modified_gmt":"2017-06-07T13:29:53","slug":"notification-of-a-personal-data-breach-to-the-supervisory-authority","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/06\/07\/notification-of-a-personal-data-breach-to-the-supervisory-authority\/","title":{"rendered":"La Notifica di una violazione dei dati personali all&#8217;autorit\u00e0 di controllo"},"content":{"rendered":"<p>Nella sua <strong>Guida all&#8217;applicazione del Regolamento UE 2016\/679 in materia di protezione dei dati personali <\/strong>l&#8217;Autorit\u00e0 Garante dichiara che la notifica della violazione di dati personali non \u00e8 obbligatoria, ma lasciata alla valutazione dei Titolari&#8230;<\/p>\n<p>In attesa delle relative Linee guida del WP 29 vediamo cosa dice la normativa.<\/p>\n<p>Innanzi tutto cosa \u00e8 una violazione di dati personali?<\/p>\n<p>La definizione \u00e8 presente nell\u2019articolo 4 12:<\/p>\n<p style=\"padding-left: 30px;\"><em>\u00abviolazione dei dati personali\u00bb:la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l&#8217;accesso ai dati personali trasmessi, conservati o comunque trattati;<\/em><\/p>\n<p>Quando \u00e8 necessario notificare?<\/p>\n<p>Cos\u00ec recita l\u2019articolo 33 1:<\/p>\n<p style=\"padding-left: 30px;\"><em>1.In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all&#8217;autorit\u00e0 di controllo competente a norma dell&#8217;articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne \u00e8 venuto a conoscenza<\/em><\/p>\n<p>\u00c8 possibile non notificare solo se sussistono le seguenti circostanze:<\/p>\n<p><em>a meno che sia IMPROBABILE che la violazione dei dati personali presenti un RISCHIO PER I DIRITTI E LE LIBERT\u00c0 DELLE PERSONE FISICHE. Qualora la notifica all&#8217;autorit\u00e0 di controllo non sia effettuata entro 72 ore, \u00e8 corredata dei motivi del ritardo<\/em>.<\/p>\n<p>Per non notificare \u00e8 quindi necessario valutare 2 cose:<\/p>\n<ul>\n<li><i>se come effetto della violazione possa esserci un <em>rischio per i diritti e le libert\u00e0 delle persone fisiche<\/em><\/i><\/li>\n<li>se tale rischio \u00e8 PROBABILE oppure no.<\/li>\n<\/ul>\n<p>Per quanto attiene <em>i diritti e le libert\u00e0 delle persone fisiche<\/em> questi sono definite al considerando 75:<\/p>\n<p style=\"padding-left: 30px;\"><em>(75) I rischi per i diritti e le libert\u00e0 delle persone fisiche, aventi probabilit\u00e0 e gravit\u00e0 diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento pu\u00f2 comportare discriminazioni, furto o usurpazione d&#8217;identit\u00e0, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;<\/em><\/p>\n<p>La loro individuazione \u00e8 quindi oggettiva, mentre meno oggettiva \u00e8 la valutazione della probabilit\u00e0 ed \u00e8 pertanto necessario aver definito una specifica procedura di valutazione.<\/p>\n<p>Tuttavia questa non \u00e8 la sola situazione che \u00e8 possibile riscontrare.<\/p>\n<p>La scoperta di una violazione pu\u00f2 infatti avvenire perch\u00e9 si \u00e8 rilevata:<\/p>\n<ul>\n<li>una violazione come tale (ad esempio la rottura\/perdita\/furto di un dispositivo di archiviazione)<\/li>\n<li>un effetto di una (potenziale) violazione (ad esempio una frode).<\/li>\n<\/ul>\n<p>Nel primo caso ci si comporter\u00e0 quindi come indicato pi\u00f9 sopra, mentre nel secondo caso, se l\u2019effetto rilevato \u00e8 esso stesso uno dei <em>rischi per i diritti e le libert\u00e0 delle persone fisiche,<\/em> come ad esempio una perdita economica derivante da una frode, non sar\u00e0 necessario valutare una PROBABILIT\u00c0 di accadimento, in quanto l\u2019evento \u00e8 ovviamente accaduto.<\/p>\n<p>In questo caso quello che \u00e8 necessario verificare \u00e8 se l\u2019effetto rilevato derivi o meno da una violazione di dati personali (una frode ad esempio non necessariamente deriva da una violazione di dati personali).<\/p>\n<p>Un titolare dovr\u00e0 pertanto avere procedure e misure tecniche ben definite per:<\/p>\n<ul>\n<li>valutare se effettuare o meno una notificazione di violazione di dati personali:\n<ul>\n<li>nel caso in cui abbia rilevato una violazione<\/li>\n<li>nel caso in cui abbia rilevato l\u2019effetto di una possibile violazione<\/li>\n<\/ul>\n<\/li>\n<li>effettuare la notificazione<\/li>\n<li>effettuare la gestione della violazione di sicurezza<\/li>\n<\/ul>\n<p>ma soprattutto per EVITARE VIOLAZIONI di dati personali.<\/p>\n<p>Nulla deve essere lasciato al caso in considerazione sia dello strettissimo tempo richiesto per effettuare la notifica, sia in un\u2019ottica di accountability e quindi di capacit\u00e0 di rendicontare le proprie scelte ed il proprio operato.<\/p>\n<p>Inoltre la mancata notifica, se dovuta, oltre ad essere autonomamente sanzionata costituisce una aggravante nel caso di valutazione del peso di una sanzione come previsto dall\u2019art. 83 2 h:<\/p>\n<p style=\"padding-left: 30px;\"><em>la maniera in cui l&#8217;autorit\u00e0 di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;<\/em><\/p>\n<p style=\"padding-left: 30px;\"><a href=\"https:\/\/blog.europrivacy.org\/it\/2017\/02\/20\/fraud-and-gdpr\/\">Vedi anche<\/a>: Frodi e GDPR<\/p>\n<p><\/p>","protected":false},"excerpt":{"rendered":"<p>Nella sua Guida all&#8217;applicazione del Regolamento UE 2016\/679 in materia di protezione dei dati personali l&#8217;Autorit\u00e0 Garante dichiara che la notifica della violazione di dati personali non \u00e8 obbligatoria, ma lasciata alla valutazione dei Titolari&#8230; In attesa delle relative Linee guida del WP 29 vediamo cosa dice la normativa. Innanzi tutto cosa \u00e8 una violazione\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2017\/06\/07\/notification-of-a-personal-data-breach-to-the-supervisory-authority\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[18,23,29,43],"class_list":["post-3003","post","type-post","status-publish","format-standard","hentry","category-data-breach","tag-data-breach","tag-risk-assessment","tag-risk-evaluation","tag-what-to-do"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3003","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=3003"}],"version-history":[{"count":5,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3003\/revisions"}],"predecessor-version":[{"id":3019,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3003\/revisions\/3019"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=3003"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=3003"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=3003"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}