Anche per la notifica dei data breach ci sarà una procedura telematica
Con il Provvedimento del 27 maggio 2021 [doc. web n. 9667201], L’Autorità Garante per la protezione dei dati personali renderà disponibile un’apposita procedura telematica, parallelamente a quanto già fatto per la Comunicazione dei dati di contatto del Responsabile della Protezione dei Dati, all’interno del proprio portale dei servizi online all’indirizzo “https://servizi.gpdp.it/”, attraverso la quale, dal 1° luglio 2021, i Titolari del trattamento potranno e dovranno notificare al Garante stesso le violazioni di dati personali ai sensi dell’art. 33 del GDPR.
Tale intervento si è ritenuto necessario, a detta del Garante stesso, valutando, in questi primi 3 anni di attuazione del GDPR:
- che è pervenuto un elevato numero di notifiche,
- che esse sono risultate non di rado prive di alcune informazioni necessarie per una compiuta valutazione della fattispecie presentata e delle conseguenti iniziative da intraprendere a tutela dei diritti e delle libertà delle persone fisiche, rendendo così necessaria la successiva acquisizione di ulteriori elementi in ordine ai fatti e alle circostanze relative alla violazione dei dati personali.
L’adozione della modalità telematica, contestualmente alla modifica del contenuto della notifica di violazione dei dati personali, ha l’obiettivo per il Garante di accrescere l’efficacia e l’efficienza dell’azione amministrativa e, allo stesso tempo, semplificare l’adempimento degli obblighi da parte dei Titolari del trattamento.
Sebbene, come già riferito, la vera e propria compilazione della notifica sarà disponibile dal 1° luglio 2021, la pagina dedicata all’interno della piattaforma è già attiva e vi possiamo trovare, oltre ai moduli standard, presenti anche per la Comunicazione dei dati di contatto del Responsabile della Protezione dei Dati (istruzioni, fac-simile del modello, rimando alla pagina informativa del Garante, informativa sul trattamento dei dati personali), anche un modulo di autovalutazione preventiva guidata (self-assessment) utile per il Titolare del trattamento, attraverso la risposta ad alcune domande, ad individuare le azioni da intraprendere a seguito di una violazione dei dati personali.
Trattandosi di un semplice strumento di supporto preventivo al processo decisionale del Titolare del trattamento, all’interno del modulo di autovalutazione si specifica come le informazioni fornite durante il suo utilizzo non saranno conservate.
Venendo alle principali novità della procedura telematica, si ritiene opportuno segnalare:
- La possibilità di autenticarsi direttamente attraverso credenziali SPID – livello 2 o carta di identità elettronica (c.d. CIE 3.0), avendo in questo caso anche la possibilità di usufruire della modalità “salva in bozza”, a patto che la compilazione venga completata entro le 24 ore successive. Rimane, comunque, attivo anche il precedente metodo di autenticazione, mediante l’apposizione della firma digitale.
- In linea con la facoltà data dallo stesso GDPR di fornire le informazioni in fasi successive, l’utente potrà indicare in prima notifica al Garante, se questa è da ritenersi “PRELIMINARE” o “COMPLETA”, avendo sempre, in ogni caso, la possibilità di trasmettere una successiva notifica integrativa.
Il sistema provvede ad inviare periodicamente all’utente dei reminder automatici, fino ad avvenuta integrazione, nei casi in cui la notifica al Garante sia stata indicata come “PRELIMINARE” o siano state omesse informazioni essenziali ai fini di una corretta valutazione.