Procedura di segnalazione per le violazioni di dati personali (data breach)
CONTENUTO DELL’OBBLIGO
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo senza giustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dai motivi del ritardo.
Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
La notifica deve contenere i seguenti elementi fondamentali:
- descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- descrizione delle probabili conseguenze della violazione dei dati personali;
- descrizione delle misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Il titolare del trattamento è tenuto a documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto delle prescrizioni normative.
La violazione dei dati personali deve essere prontamente comunicata all’interessato dal titolare del trattamento quando è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La comunicazione deve essere resa con un linguaggio semplice e chiaro atto a far comprendere la natura della violazione dei dati personali e deve contiene almeno le informazioni e le misure necessarie a descrivere le probabili conseguenze e le misure adottate per porre rimedio alla violazione.
Non è richiesta la comunicazione all'interessato solamente qualora il titolare del trattamento abbia messo in atto le misure tecniche e organizzative adeguate di protezione oppure abbia adottato successivamente misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.
E’ altresì possibile procede a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia, se la comunicazione agli interessati richieda sforzi sproporzionati.
PROCEDURA
Schema delle diverse fasi da osservare da parte dei dipendenti e/o collaboratori, consulenti e fornitori che vengono a conoscenza di un’ipotesi di violazione dei dati personali nel contesto dell’attività lavorativa o professionale per conto del Consorzio.
| Fase | Attività
| Chi
| A chi
| Quando
| Come
|
| 1
| Rilevazione e segnalazione di violazione dei dati | Tutto il personale, collaboratori, fornitori | Al Direttore generale o al referente privacy, che attiva la procedura | Appena se ne viene a conoscenza
| Utilizzando le vie più brevi (telefono, di persona, e‐mail)
|
| 2
| Raccolta informazioni sulla violazione
| Il Direttore generale o il referente privacy insieme ai soggetti coinvolti nella violazione | Appena ricevuta la comunicazione
| Raccogliendo informazioni dai soggetti coinvolti nella segnalazione e nel trattamento dei dati violati
| |
| 3 | Comunicazione della violazione dati
| Il Direttore generale o il referente privacy
| Al Responsabile della protezione dei dati (RPD) | Appena ottenute informazioni di base sulla violazione | Utilizzando le vie più brevi o la mail dell’RPD
|
| 4 | Valutazione d’impatto
| RPD, soggetti coinvolti | Appena ricevuta la comunicazione | Utilizzando le metodologie standard
| |
| 5
| Individuazione delle azioni correttive
| RPD, soggetti coinvolti
| Appena terminata la valutazione d’impatto | Analizzando i risultati della valutazione d’impatto
| |
| 6
| Comunicazione delle valutazioni effettuate e delle azioni da intraprendere | RPD, Direttore generale o referente privacy | Al Titolare
| Tramite una relazione
| |
| 7 | Notifica della violazione | Titolare | Al Garante | Entro 72 ore dalla rilevazione | Mediante la modulistica predisposta dal Garante
|
| 8
| Comunicazione agli interessati coinvolti | Titolare | Alle persone fisiche i cui dati sono stati violati
| Nei termini indicati nella valutazione d’impatto
| Comunicazione diretta alle singole persone o mediante pubblicazione in sito a loro accessibile delle eventuali conseguenze della violazione sulle categorie di persone fisiche interessate |