Violazione dati personali, il Garante predispone modello di notifica
«Furto o perdita di dispositivi informatici (PC portatili, telefonini aziendali) contenenti dati personali», «deliberata alterazione di dati personali», «impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.», «perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità», ed infine «divulgazione non autorizzata dei dati personali». Sono solo alcuni dei casi relativi alla possibile violazione dei dati in carico ad una struttura – come la farmacia – che, sulla base del regolamento 679/2016 (Gdpr), obbliga il titolare al trattamento dei dati personali alla comunicazione entro 72 ore dal momento in cui si è verificato l’illecito a notificare la violazione al Garante per la protezione dei dati personali. Ciò eccetto quei casi in cui «sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche».
A tal proposito, l’Autorità, con apposito provvedimento del 30 luglio 2019, ha divulgato sul proprio sito Internet un modulo opportunamente predisposto ad assolvere l’obbligo di notifica. Quanto alle tipologie di violazioni, il Garante precisa che «vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali». A titolo di esempio, «la perdita del controllo – prosegue il Garante – sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale».
La procedura di notifica prevede l’invio del modulo compilato all’indirizzo di posta elettronica certificata protocollo@pec.gpdp.it. Il Garante specifica a tal proposito che la notifica «deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario». Infine, «l’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento».
