Linee guida per la comunicazione delle violazioni dei dati personali: avviata la consultazione

di avv. Graziano Garrisi e dott.ssa Debora Montagna 

Il Garante Privacy ha avviato la procedura di consultazione pubblica sulle nuove Linee Guida relative alla disciplina sulla comunicazione delle violazioni di dati personali. Tale disciplina, prevista dal d.lgs. 69/2012, in recepimento della direttiva europea sulla sicurezza e la privacy nel settore delle comunicazioni elettroniche, ha introdotto nel nostro ordinamento obblighi di comunicazione agli utenti e all’Autorità Garante Privacy nei casi di c.d. data breaches.
Queste linee guida costituiscono un primo quadro di istruzioni da seguire in caso di violazione di dati personali degli utenti (nel caso di perdita, distruzione o indebita diffusione dei dati) e, ora, l’Autorità Garante attende di acquisire elementi utili a valutare l’adeguatezza delle misure previste.
Vediamo i punti principali delle Linee guida:

  • i soggetti tenuti a comunicare sono i fornitori di servizi telefonici e di accesso a Internet, quindi società telefoniche e internet provider;
  • non sono tenuti agli adempimenti: internet point, reti aziendali, motori di ricerca e siti internet che diffondono contenuti;
  • la comunicazione al Garante deve avvenire entro 24 ore dalla scoperta dell’evento e devono essere comunicati:
    – i dati coinvolti
    – la descrizione dei sistemi di elaborazione
    – il luogo in cui è avvenuta la violazione.
    A tal fine, sul sito dell’Autorità Garante è reperibile il modello di comunicazione delle violazioni (che va aperto, compilato e, dopo aver apposto la firma digitale, salvato come un file .pdf sul proprio computer, per essere inviato al Garante unicamente tramite posta PEC a uno specifico indirizzo).
  • entro 3 giorni è necessario inviare una descrizione più dettagliata della violazione;
  • per agevolare i controlli del Garante Privacy, i soggetti obbligati devono tenere un inventario aggiornato delle violazioni di dati, dei provvedimenti adottati e delle conseguenze subite;
  • sono previste sanzioni per la violazione degli obblighi previsti.

In relazione a questo ultimo punto, si sottolinea che la mancata comunicazione all’Autorità Garante circa la violazione dei dati personali o il suo ritardo espone il Titolare a una sanzione amministrativa che va da 25.000 a 150.000 euro. Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata. La mancata tenuta dell’inventario aggiornato, invece, è punita con la sanzione da 20.000 a 120.000.