Il Garante per la protezione dei dati, conformemente all’evoluzione della normativa Europea ed allineandosi con le disposizioni di molti paesi membri in recepimento del nuovo Codice Privacy, ha introdotto negli ultimi anni una serie di misure rivolte ai gestori e titolari dei dati appartenenti ad alcuni specifici settori. Le misure obbligano questi soggetti a comunicare all’Autorità stessa eventuali violazioni (data breach) dei dati sensibili. Tale obbligo in alcune situazioni viene, inoltre, esteso anche nei confronti dei diretti interessati, con l’introduzione di possibili sanzioni amministrative in caso di mancata comunicazione.
La necessità di attuare queste misure è stata indotta da alcuni recenti episodi, in cui si è verificato come i dati personali siano effettivamente a rischio di smarrimento, appropriazione indebita, diffusione a soggetti terzi non autorizzati o distruzione in seguito, per esempio, a calamità di tipo naturale o incendi.
Il Garante per la Privacy, facendo seguito a un provvedimento di carattere generale in materia di obblighi sulla protezione, pubblicato in Gazzetta Ufficiale n. 97 già in data 26 aprile 2013 (Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali) ha recentemente pubblicato sul portale istituzionale telematico una brochure infografica riassuntiva che schematizza i contenuti principali delle misure, riprendendo sinteticamente quanto di pertinenza dai più salienti provvedimenti che negli ultimi anni sono stati pubblicati in materia.
Il già citato provvedimento numero 161 di aprile 2013 definisce l’obbligo di comunicazione al garante nei casi sopracitati, mediante apposito modello telematico, che ricade sui fornitori di servizi telefonici e di accesso a internet e non riguarda quindi quei soggetti che non sono fornitori di un servizio ma che detengono comunque banche dati per altri propositi (es. chi offre servizi di comunicazione elettronica a gruppi delimitati di persone, reti aziendali, siti internet che diffondono contenuti, i motori di ricerca, gli internet point, ed i soggetti privati).
In caso di violazione o smarrimento dei dati, i gestori hanno l’obbligo di comunicare al Garante il fatto entro 24 ore dalla scoperta ed entro i tre giorni successivi a tutti gli interessati coinvolti. Se, tuttavia, il gestore è in grado di dimostrare di aver precedentemente adottato tutte le misure di sicurezza previste dalla normativa, e necessarie e garantire l’integrità e la protezione dei dati, la comunicazione della violazione all’utente non è dovuta, salvo casi di gravità tale per i quali il Garante può stabilire comunque l’obbligo.
Il provvedimento introduce anche l’obbligo di tenere un archivio delle violazioni subite, indicandone la natura e le conseguenze, in modo da favorire le attività ispettive eventuali e il monitoraggio. Le sanzioni amministrative previste in caso di violazione di uno dei precedenti obblighi sono da 25mila a 150mila euro per mancata o ritardata comunicazione del fatto, da 150 euro a 1000 euro per ogni società, ente o persona interessata in caso di mancata comunicazione agli utenti se prevista e da 20mila a 120mila euro per non aver tenuto aggiornato l’archivio delle violazioni.
Il “Provvedimento generale prescrittivo in tema di biometria” numero 513 del 12 novembre 2014 precisa che l’obbligo di comunicazione della violazione dei dati entro le 24 ore successive, sempre con le modalità definite dal provvedimento generale, sia esteso anche ai dati biometrici (caratteristiche biologiche e/o comportamentali individuali che, se confrontate con dati precedentemente acquisiti consentono il riconoscimento di una persona).
Le Linee guida in materia di Dossier Sanitario Elettronico del 4 giugno 2014, dove per Dossier Sanitario si intende l’insieme di informazioni acquisite da una struttura sanitaria che raccoglie informazioni sulla salute di un paziente, definiscono l’obbligo per tali strutture di comunicare una violazione dei dati che possano avere un impatto significativo, entro 48 ore dalla conoscenza del fatto.
Il provvedimento relativo alle Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche n. 393 del 2 luglio 2015 estende anche alle amministrazioni pubbliche gli obblighi di comunicazione (entro 48 ore) per violazioni di cui sopra, introducendo sanzioni e obblighi anche per queste ultime.
Info: Garante Privacy infografica data breach
Corso di formazione privacy sul trattamento dei dati personali. Iscriviti ora
