27 Settembre 2020

Data Breach

Il Regolamento comunitario n. 2016/679 (GDPR) non prevede una specifica disciplina per il trattamento dei dati personali effettuato dai soggetti pubblici e quindi dai comuni. Con il presente contributo, si cerca quindi di fare il punto della situazione sul tema attraverso l´elenco dei principali obblighi che i Comuni dovranno tenere per rispettare la disciplina del GDPR che entrerà in vigore dal 25 maggio 2018.


Fonte: Michele Iaselli - Avvocato, docente di logica ed informatica giuridica presso l´Università degli Studi di Napoli Federico II.

Data Breach

Ma un ulteriore ed importante istituto previsto dal GDPR che ha grande rilevanza per i comuni è il  data breach già, per la verità, previsto dal Garante in materia sanitaria prima dell'avvento del GDPR.

L'art. 33  del Regolamento in materia di violazione dei dati personali, il responsabile del trattamento segnala la violazione dell'autorizzazione ai sensi dell'articolo 51 senza ingiustificato ritardo, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza , a meno che sia improbabile che la violazione dei dati personali presenti. In caso contrario, entro 72 ore, la notifica dell'autorità di controllo è corredata di una giustificazione motivata.

Tale notifica deve come minimo:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

L’art. 34, invece, prevede un’altra importante incombenza collegata alla precedente e cioè la comunicazione di una violazione dei dati personali all’interessato.

Difatti, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.

VIOLAZIONE DEI DATI

PROCEDURA

RIFERIMENTI NORMATIVI

CONTENUTO NOTIFICA

NOTA

Notifica da effettuare entro 72 ore da quando si ha conoscenza della violazione

Artt. 33 e 34 Reg. 2016/679

Descrizione della natura della violazione.

Nella notifica vanno sempre indicate le generalità del DPO

Il registro delle attività di trattamento

Non va dimenticata, inoltre, per i Comuni un’altra importante incombenza prevista dal GDPR e molto incoraggiata dall’Autorità Garante e cioè la predisposizione dei registri delle attività di trattamento di cui all’art. 30 del Regolamento.

Per il Garante, difatti, a prescindere dall’obbligo normativo non sempre ricorrente, è essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all'istituzione del registro. La ricognizione sarà l'occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell'idoneità della base giuridica, artt. 6, 9 e 10) nonché l'opportunità dell'introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171).

REGISTRO DELLE ATTIVITA 'DI TRATTAMENTO

CONTENUTO

RIFERIMENTI NORMATIVI

NOTA

Descrizione accurata del trattamento specifico

Arte. 30 Reg. 2016/679

Fondamentale attività per gli enti pubblici al fine di monitorare i trattamenti svolti

Di seguito, un esempio di registro delle attività di trattamento.

 


realizzazione siti web: www.it-civitas.net
Il prodotto è stato inserito nel carrello

continua lo shopping
vai alla cassa
close
Richiedi il prodotto
Inserisci il tuo indirizzo email per essere avvisato quando il prodotto tornerà disponibile.



Richiesta disponibilità inviata
Richiesta disponibilità non inviata
close
ACCEDI

NON SONO REGISTRATO

crea account
invia ad un amico
chiudi
Attenzione!
Non puoi effettuare più di 10 invii al giorno.
 (testo completo) obbligatorio