Pronto il modello per la segnalazione dei data breach. Sostituisce tutti i precedenti
Accessi non autorizzati, modifiche e distruzione dati
di Antonio Ciccia Messina
Pronto il modello del Garante della privacy per la segnalazione dei data breach e cioè degli incidenti, informatici e no, da cui sia derivata una violazione dei dati personali. Si pensi a virus informatici, ricatti digitali o anche a smarrimenti o furti di computer e dispositivi portatili e così via. Il modello è allegato al provvedimento n. 157 del 30 luglio 2019, che sostituisce integralmente tutti i precedenti provvedimenti in materia (si pensi, ad esempio, a quelli per la sanità, p.a., banche e telecomunicazioni, biometria). Sono interessati tutti gli operatori, privati e pubblici, che trattano dati, mentre in passato solo alcune categorie dovevano notificare al Garante i data breach. Vediamo, dunque cosa prevede il modello aggiornato al regolamento Ue sulla privacy n. 2016/679 (Gdpr).
Tipi. Ci sono tre tipi di violazioni e nel modello bisogna segnalare a quale appartenga il singolo episodio. Il primo tipo di violazione tocca la confidenzialità e consiste in una diffusione o in un accesso non autorizzato o accidentale; il secondo tipo riguarda, invece, la sfera della integrità e si manifesta in una modifica non autorizzata o accidentale; concernono la disponibilità dei dati, invece, l’impossibilità di accesso, la perdita, distruzione non autorizzata o accidentale.
Effetti. Il compilatore deve indicare i potenziali danni per gli interessati, che possono attenere a danni economici, reputazionali, furti di identità, ecc.
Dettagli. Il modello presenta spazi in cui descrivere compiutamente l’incidente di sicurezza, le categorie di dati personali violati, i sistemi e delle infrastrutture IT coinvolti nell’incidente, con indicazione della loro ubicazione e le misure di sicurezza tecniche e organizzative adottate per ripristinare la situazione ottimale e prevenire guai futuri.
Dati. Nel modello bisogna precisare quali dati abbiano subito l’attentato alla sicurezza. Può trattarsi di dati identificativi, di recapiti fisici e virtuali, alle credenziali di accesso a internet o piattaforme, dati su carte di credito o Pin, dati profilati o dati delicatissimi come quelli sensibili, giudiziari, biometrici o genetici. Il modello chiede di dare conto del numero, anche approssimativo, dei dati personali violati.
Comunicazione agli interessati. Il modello chiede di indicare se la violazione è stata comunicata agli interessati o sta per esserlo. In caso negativo bisogna spiegare al Garante la ragione di questa mancata comunicazione. In caso di comunicazione bisogna dettagliare il numero di interessati a cui è stata comunicata la violazione, il contenuto della stessa e il canale utilizzato (sms, posta cartacea o elettronica, altro da specificare).
Vecchi modelli. Il provvedimento del 30 luglio 2019 sostituisce integralmente i modelli previsti in alcuni provvedimenti del Garante, e in particolare quelli contenuti nella pronuncia sullo scambio dei dati tra amministrazioni pubbliche del 2 luglio 2015; nelle linee guida sul Dossier sanitario del 4 giugno 2015; nel provvedimento generale prescrittivo sulla biometria del 12 novembre 2014; nel provvedimento sulla comunicazione delle violazioni di dati del 4 aprile 2013; nonché nel provvedimento sulla circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011.
Modalità. Se, per la notifica del data breach, si utilizza il modello allegato al provvedimento 30 luglio 2019, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione. La notifica deve essere inviata al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) oppure con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura «notifica violazione dati personali» e opzionalmente la denominazione del titolare del trattamento.
© Riproduzione riservata
Fonte: