g-docweb-display Portlet

Provvedimento del 27 maggio 2021 - Procedura telematica per la notifica di violazioni di dati personali (data breach) [9667201]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

Pagina informativa

 

[doc. web n. 9667201]

Provvedimento del 27 maggio 2021 - Procedura telematica per la notifica di violazioni di dati personali (data breach)

Registro dei provvedimenti
n. 209 del 27 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (di seguito “Codice”);

VISTO il decreto legislativo 18 maggio 2018, n. 51, recante “Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio” (di seguito “Decreto”);

VISTE le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” adottate del Gruppo di lavoro articolo 29 per la protezione dei dati personali il 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018;

VISTO il “Parere 5/2019 sull'interazione tra la direttiva e-privacy e il regolamento generale sulla protezione dei dati, in particolare per quanto concerne competenze, compiti e poteri delle autorità per la protezione dei dati” adottato dal Comitato europeo per la protezione dei dati il 12 marzo 2019;

CONSIDERATO che per “violazione dei dati personali” si intende la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4, punto 12), del Regolamento e art. 2, comma 1, lett. m), del Decreto);

RILEVATO che, in caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare la violazione al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (artt. 33 e 55 del Regolamento e art. 2-bis del Codice);

RILEVATO, altresì, che il titolare del trattamento è tenuto a notificare la violazione dei dati personali al Garante con le modalità di cui all'art. 33 del Regolamento anche con riferimento al trattamento effettuato a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, salvo che il trattamento medesimo sia effettuato dall'autorità giudiziaria nell'esercizio delle funzioni giurisdizionali, nonché di quelle giudiziarie del pubblico ministero (artt. 26 e 37, comma 6, del Decreto);

VISTO il provvedimento n. 157 del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951), con il quale il Garante - ritenendo eliminati e sostituiti i termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali ai sensi della disciplina previgente l’applicazione del Regolamento - ha indicato le informazioni che i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante nell’adempimento dell’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del Decreto, nonché le modalità con le quali effettuare la predetta notifica;

VISTO il decreto legislativo 7 marzo 2005, n. 82, recante “Codice dell'amministrazione digitale”, e, in particolare, l’art. 64-bis, comma 1-quater, che prevede, tra l’altro, che “i soggetti di cui all'articolo 2, comma 2, lettera a), rendono fruibili tutti i loro servizi anche in modalità digitale”;

CONSIDERATO che al Garante è attribuito il compito di promuovere la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal Regolamento e dal Decreto (art. 57, par. 1, lett. d), del Regolamento e art. 37, comma 2, lett. b), del Decreto);

CONSIDERATO l’elevato numero di notifiche di violazione dei dati personali che pervengono al Garante e che talvolta risultano prive di alcune informazioni necessarie per una compiuta valutazione, da parte dell’Autorità, del rispetto degli obblighi in materia di violazione dei dati personali (artt. 33 e 34 del Regolamento o dagli artt. 26 e 27 del Decreto) e delle conseguenti iniziative da intraprendere a tutela dei diritti e delle libertà delle persone fisiche, rendendo così necessaria la successiva acquisizione di ulteriori elementi in ordine ai fatti e alle circostanze relative alla violazione dei dati personali;

RITENUTO pertanto necessario modificare il contenuto e le modalità della notifica della violazione dei dati personali, ai sensi dell’art. 33 del Regolamento o dell’art. 26 del Decreto, come individuati nel provvedimento n. 157 del 30 luglio 2019;

RITENUTO necessario, per accrescere l’efficacia e l’efficienza dell’azione amministrativa e, nel contempo, semplificare l’adempimento degli obblighi da parte dei titolari del trattamento, adottare un’apposita procedura telematica per la notifica della violazione dei dati personali nonché individuare le informazioni da fornire al Garante ai sensi dell’art. 33 del Regolamento e dell’art. 26 del Decreto;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. d), del Regolamento e dell’art. 37, comma 2, lett. b), del Decreto, modificando il contenuto e le modalità della notifica della violazione dei dati personali individuati nel provvedimento n. 157 del 30 luglio 2019, adotta un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità pubblicato all’indirizzo “https://servizi.gpdp.it/”, attraverso la quale, a far data dal 1° luglio 2021, i titolari del trattamento forniscono al Garante le informazioni ivi richieste, ai sensi dell’art. 33 del Regolamento e dell’art. 26 del Decreto.

Roma, 27 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei