Domanda

Il settore servizi sociali ha smarrito una chiave USB contenente copie di documenti e alcuni data base di utenti. Non potendosi escludere che qualcuno possa aver accesso ai dati personali contenuti nella chiavetta, il Sindaco vuole notificare al Garante Privacy la violazione. Vorremmo sapere come deve essere effettuata la notifica e se ci sono termini temporali da rispettare.

 

Risposta

L’articolo 33, del Regolamento (UE) 2016/679, disciplina la notifica della violazione di dati personali (data breach), prevedendo che essa debba essere effettuata senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si è venuti a conoscenza della stessa. Qualora la notifica all’autorità di controllo non sia effettuata entro i previsti tre giorni, è necessario riportare i motivi del ritardo.

Per approfondire la disciplina del data breach si consiglia di consultare le Linee Guida del Gruppo di lavoro articolo 29 adottate il 3 ottobre 2017 (Versione emendata e adottata in data 6 febbraio 2018), disponibili sul sito del Garante al link: https://www.garanteprivacy.it/regolamentoue/databreach. Con riferimento alla tempistica, relativamente alla fattispecie in questione, si prevede espressamente che il titolare del trattamento si considera venuto conoscenza della violazione nel momento in cui si è accorto di aver perso la chiave USB.

Va precisato che un incidente di sicurezza non rappresenta necessariamente una violazione di dati personali, dovendosi valutare se e quali rischi, per i diritti e le libertà delle persone fisiche, conseguono da tale violazione. Non è necessario, infatti, procedere alla notifica ai sensi dell’art. 33 del GRPD, nel caso in cui sia improbabile che la violazione dei dati personali rappresenti un rischio concreto.

Nel caso prospettato, tuttavia, a nostra valutazione, diventa corretto procedere alla notifica. Le Linee Guida citate riportano il caso come un esempio di violazione di dati personali, precisando che: in caso di perdita di una chiave USB contenente dati personali non crittografati spesso non è possibile accertare se persone non autorizzate abbiano avuto accesso ai dati. Tuttavia, anche se il titolare del trattamento non è in grado di stabilire se si è verificata una violazione della riservatezza, tale caso deve essere notificato, in quanto sussiste una ragionevole certezza del fatto che si è verificata una violazione della disponibilità.

Nel caso prospettato dal Comune, peraltro, le categorie di interessati a cui si riferiscono i dati sono probabilmente soggetti vulnerabili, trattandosi di documenti di competenza del settore servizi sociali (salute e situazione socio-economica), per cui è ancor più necessario effettuare la notifica.

La notifica deve contenere le informazioni di cui all’art. 33, par. 3 del GDPR e deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI”. Il precedente modello di notifica, approvato con provvedimento del 2 luglio 2015 [doc. web n. 4129029], è stato sostituito con un nuovo modello contenuto nell’allegato al provvedimento del Garante (Registro dei provvedimenti n.157 del 30 luglio 2019 [doc. web n. 9126951] e disponibile seguente link:
https://www.garanteprivacy.it/documents/10160/0/Modello+notifica+Data+Breach.pdf/6d1fa433-88dc-2711-22ab-dd5d476abe74?version=2.0