Cosa fare in caso di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati? A chi rivolgersi? Come comunicarle? La risposta è nelle linee guida pubblicate dal Gruppo di lavoro del nuovo regolamento europeo sulla privacy.
Vi proponiamo qui l’articolo di Giusella Finocchiaro e Maria Chiara Meneghetti, pubblicato su Digital 4 Executive il 18 dicembre 2017.
A seguito dell’entrata in vigore del GDPR (Regolamento UE 2016/679 in materia di protezione dei dati personali), il Gruppo di lavoro Art. 29 si è più volte attivato per offrire indicazioni concrete e casi esemplificativi che potessero aiutare gli operatori coinvolti nel trattamento di dati personali a interpretare le disposizioni del Regolamento e a pianificare correttamente il loro adeguamento.
Si collocano in questo scenario le nuove linee guida del Gruppo di lavoro Art. 29 sul data breach (Guidelines on Personal data breach notification under Regulation 2016/679, adottate il 3 ottobre 2017).
Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’approccio del Regolamento si differenzia nettamente da quello adottato della Direttiva 95/46/CE, che, al contrario, non dispone alcun obbligo generalizzato di notifica. Attualmente, anche il nostro ordinamento prevede un obbligo di notifica frammentario. In recepimento della normativa europea in materia di comunicazioni elettroniche, il Codice privacy ha introdotto uno specifico obbligo di notifica dei data breach esclusivamente per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. In altri settori (dati biometrici, dossier sanitario e pubbliche amministrazioni) l’obbligo è stato prescritto attraverso puntuali provvedimenti del Garante privacy. Il nuovo Regolamento, invece, attribuisce alla notifica una funzione essenziale di tutela degli interessati ed estende tale obbligo alla generalità dei titolari di trattamento.
Il criterio dirimente per valutare la necessità di avviare una procedura di notifica è la probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui. Appurato il rischio conseguente dalla violazione, gli artt. 33 e 34 del GDPR indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.Le nuove linee guida integrano gli articoli citati e permettono di dare risposta ad una serie di quesiti la cui comprensione risulta di fondamentale importanza per la predisposizione di corrette procedure di notificazione.
Aggiungi commento