Cosa fare in caso di violazione della privacy? Tutto quello che le aziende devono sapere sulla nuova normativa UE

Il 25 maggio 2018 è entrato in vigore il noto GDPR (General Data Protection Regulation) sulla protezione dei dati delle persone fisiche. Tra le novità maggiormente degne di nota, l’introduzione di specifici obblighi a carico dei soggetti responsabili della protezione dei dati.

Con l’emanazione del nuovo Regolamento sulla privacy, il legislatore europeo pone una stretta sul trattamento delle informazioni personali. Il giro di vite targato Ue arriva a distanza di una manciata di mesi dallo scandalo Facebook sul furto dei dati sensibili di 78 milioni di utenti per scopi pubblicitari, con il preciso intento di mettere dei paletti nella gestione delle informazioni in transito su banche dati e piattaforme social.

GDPR, alcuni degli elementi innovativi contenuti nel Regolamento europeo

Introduzione della figura del DPO

Con l’acronimo DPO (Data Protection Officer) si vuole indicare il Responsabile della protezione dei dati, ovverosia un soggetto incaricato di garantire una corretta gestione dei dati personali. Deve evidenziarsi che il DPO è un soggetto da non confondere con il titolare del trattamento, né con il responsabile del trattamento. Il titolare del trattamento e il responsabile del trattamento sono obbligati a designare il DPO in tre ipotesi:

  • se il trattamento dei dati personali è effettuato da una pubblica autorità o da un organismo pubblico, ad eccezione delle autorità giurisdizionali nell’esercizio dei loro compiti;
  • quando la principale attività dell’impresa consiste nel monitoraggio regolare e sistematico di dati personali;
  • se l’attività principale dell’impresa consiste nel trattamento, su larga scala, di categorie particolari di dati – come ad esempio quelli idonei a rivelare l’origine razziale o etnica, le convinzioni politiche, religiose o filosofiche – nonché dei dati relativi a condanne penali e reati.
Leggi anche:  Istruzioni del Garante per la tenuta del registro sulla privacy: previste semplificazioni per le imprese

Violazione della privacy: quando si verifica

Anzitutto, per violazione della privacy si fa riferimento ad uno dei seguenti eventi: divulgazione (intenzionale o meno), distruzione, modifica o accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni. Non sempre, perciò, deve trattarsi di attacchi informatici, potendo manifestarsi una violazione della privacy anche nel caso di accesso abusivo o semplice incidente (si pensi ad ipotesi di furti o incendi).

Cosa devono fare il responsabile e il titolare del trattamento di dati personali

Se il responsabile del trattamento viene a conoscenza di violazioni della privacy, deve informare senza indugio il titolare del trattamento. Quest’ultimo, se ritiene che dalla violazione possa derivare un rischio per i diritti e le libertà dell’interessato, dovrà rivolgersi all’Autorità di controllo (il nostro Garante della privacy) entro 72 ore e comunque senza giustificato ritardo. Nessun obbligo di comunicazione sussiste invece se il titolare del trattamento ritenga altamente improbabile il verificarsi di pregiudizi per la persona cui si riferiscono i dati personali violati. La notifica deve descrivere:

  • la natura della violazione dei dati personali;
  • il nome e i dati di contatto del responsabile della protezione dei dati o di altro riferimento al quale sia possibile richiedere informazioni;
  • le presumibili conseguenze prodotte dalla violazione;
  • le misure adottate o da adottare da parte del titolare del trattamento per porre fine alla violazione o anche, se possibile, per attutirne gli effetti negativi.

Allo stesso modo, se il titolare del trattamento ritenga che dalla violazione della privacy possa scaturire un rischio di lesione dei diritti e delle libertà dell’interessato, dovrà informare senza ritardo anche quest’ultimo.

Obblighi di documentazione e sanzioni

In ogni caso, i titolari del trattamento devono documentare le violazioni di dati personali subìte in un apposito registro, pur quando non comunicate al Garante della privacy. Il titolare deve altresì documentare nel registro delle violazioni le conseguenze da questa prodotte, ivi inclusi i provvedimenti adottati per porvi rimedio. Il registro dovrà essere consegnato al Garante della privacy nel caso di accertamenti.

Vuoi approfittare delle opportunità contenute nell'articolo?

Contattaci e un membro del nostro team ti spiegherà come fare




[wpgdprc "Accetto esplicitamente che i miei dati vengano trattati secondo le indicazioni espresse dal GDPR ed indicate nell'informativa"]Policy e privacy