Data Breach
Fonte: Michele Iaselli - Avvocato, docente di logica ed informatica giuridica presso l´Università degli Studi di Napoli Federico II.
Data Breach
Ma un ulteriore ed importante istituto previsto dal GDPR che ha grande rilevanza per i comuni è il data breach già, per la verità, previsto dal Garante in materia sanitaria prima dell'avvento del GDPR.
L'art. 33 del Regolamento in materia di violazione dei dati personali, il responsabile del trattamento segnala la violazione dell'autorizzazione ai sensi dell'articolo 51 senza ingiustificato ritardo, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza , a meno che sia improbabile che la violazione dei dati personali presenti. In caso contrario, entro 72 ore, la notifica dell'autorità di controllo è corredata di una giustificazione motivata.
Tale notifica deve come minimo:
|
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; |
|
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; |
|
c) descrivere le probabili conseguenze della violazione dei dati personali; |
|
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. |
L’art. 34, invece, prevede un’altra importante incombenza collegata alla precedente e cioè la comunicazione di una violazione dei dati personali all’interessato.
Difatti, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.
|
VIOLAZIONE DEI DATI |
PROCEDURA |
RIFERIMENTI NORMATIVI |
CONTENUTO NOTIFICA |
NOTA |
|
Notifica da effettuare entro 72 ore da quando si ha conoscenza della violazione |
Descrizione della natura della violazione. |
Nella notifica vanno sempre indicate le generalità del DPO |
Il registro delle attività di trattamento
Non va dimenticata, inoltre, per i Comuni un’altra importante incombenza prevista dal GDPR e molto incoraggiata dall’Autorità Garante e cioè la predisposizione dei registri delle attività di trattamento di cui all’art. 30 del Regolamento.
Per il Garante, difatti, a prescindere dall’obbligo normativo non sempre ricorrente, è essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all'istituzione del registro. La ricognizione sarà l'occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell'idoneità della base giuridica, artt. 6, 9 e 10) nonché l'opportunità dell'introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171).
|
REGISTRO DELLE ATTIVITA 'DI TRATTAMENTO |
CONTENUTO |
RIFERIMENTI NORMATIVI |
NOTA |
|
Descrizione accurata del trattamento specifico |
Fondamentale attività per gli enti pubblici al fine di monitorare i trattamenti svolti |
Di seguito, un esempio di registro delle attività di trattamento.
] [
]
[
]
[
] 