La violazione della privacy comporta l’obbligo di comunicazione dell’accaduto sia al Garante della Privacy ma anche ad altre autorità previste dalla legge
Avv. Edoardo Di Mauro – Ti sei mai chiesto se la violazione della privacy è un fatto da cui scaturiscono conseguenze importanti? Per rispondere a questa domanda è necessario capire cos’è la violazione della privacy e cosa stabilisce il Reg. UE 976/2016.
- Violazione della privacy
- Cosa succede se la privacy viene violata?
- Altri obblighi di comunicazione
Violazione della privacy
Per violazione della privacy si intende la violazione della sicurezza che comporta accidentalmente o in modo illecito, la distruzione, la perdita, la diffusione non autorizzata di dati personali.
Per esempio immagina il professionista che perde la sua chiavetta USB contenente documenti in formato word o pdf da cui si evincono numerosi dati personali dei clienti.
Cosa succede se la privacy viene violata?
Se la privacy viene violata scattano alcuni obblighi a carico del titolare del trattamento e del responsabile del trattamento.
Il Responsabile del trattamento, appena venuto a conoscenza della violazione della privacy, deve, senza ritardo e comunque non oltre le 72 ore, comunicare l’accaduto al Garante della Privacy (autorità di controllo). L’obbligo non è previsto se non ci sono rischi per i diritto e le libertà della persona interessata.
Nell’esempio dell perdita della chiavetta USB può dirsi che il titolare viene a conoscenza della violazione della privacy per la semplice perdita. Infatti è alta la probabilità che qualcuno trovi la chiavetta e venga a conoscenza dei dati con il rischio che vengano diffusi.
Anche il responsabile del trattamento ha l’obbligo di comunicare l’accaduto al titolare in modo da metterlo a conoscenza e indurlo ad effettuare la comunicazione prevista dalla legge.
Altri obblighi di comunicazione
L’obbligo di comunicazione della violazione non sempre si chiude con l’informativa trasmessa all’autorità di controllo (Garante della Privacy).
In alcuni ambiti sono previsti ulteriori obblighi
Il regolamento eIDAS
Il regolamento eIDAS (Reg. UE 910/2014) in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno impone ai prestatori di servizi fiduciari di notificare all’organismo di vigilanza una violazione della sicurezza o la perdita di integrità che hanno un impatto significativo sul servizio fiduciario fornito o sui dati personali conservati in tale contesto
La direttiva NIS sui servizi digitali
Direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, invece, impone agli operatori di servizi essenziali e ai fornitori di servizi digitali di notificare gli incidenti di sicurezza alle loro autorità competenti.
(16/10/2018 – Edoardo Di Mauro)