Nuova procedura telematica per la notifica dei data breach: primi riscontri pratici
Dal 1° luglio 2021 l’Autorità Garante ha predisposto una nuova procedura telematica per la notifica delle violazioni dei dati personali (data breach) ai sensi dell’art. 33 del GDPR, disponibile all’interno del portale dei servizi online dell’Autorità all’indirizzo https://servizi.gpdp.it/.
In questi primi mesi di sperimentazione della nuova procedura è apparso fuor di dubbio agevole per i titolari del trattamento la possibilità di fornire le informazioni in fasi successive, mediante la c.d. notifica “PRELIMINARE”.
Tale sistema consente infatti di rispettare il limite delle 72 ore per la notifica al Garante, disciplinato dall’art. 33 del GDPR, rimandando a successive integrazioni ulteriori analisi ed informazioni di cui si avrà maggiore consapevolezza.
D’altro canto, bisogna però tenere in considerazioni che l’automatismo del nuovo sistema di notifica impone dei limiti al mantenimento dello stato preliminare, provvedendo ad inviare periodicamente all’utente dei reminder automatici, fino ad avvenuta integrazione (in questo primo periodo si è riscontrato mediamente un intervallo mensile prima dell’invio dei reminder).
Si segnala inoltre che, anche per il corretto completamento di questa procedura, è sempre necessario, qualora sia stato nominato un Responsabile della protezione dei dati (“DPO”), indicare il numero di protocollo assegnato alla relativa comunicazione, che verrà altrimenti richiesto dal Garante nell’integrazione.
La trasmissione delle informazioni integrative dovrà essere effettuata utilizzando la medesima procedura, selezionando nella sez. B l’opzione “notifica integrativa” ed indicando il numero di fascicolo e il relativo PIN inviati via e-mail all’indirizzo del Titolare del trattamento riportato nella notifica preliminare.
Il sistema consente di procedere all’integrazione per:
a) Fornire ulteriori informazioni senza completare il processo di notifica;
b) Fornire ulteriori informazioni e completare il processo di notifica;
c) Completare il processo di notifica senza fornire ulteriori informazioni;
d) Annullare una precedente notifica. In quest’ultimo caso sarà necessario indicare le motivazioni per le quali si procede all’annullamento, ad esempio qualora, dalle analisi effettuate, si riscontri che un attacco ai sistemi del Titolare del trattamento non si sia poi effettivamente concretizzato in una violazione dei dati personali.