Decreto legislativo - 18/05/2018 - n. 51 art. 26 - Notifica al Garante di una violazione di dati personaliNotifica al Garante di una violazione di dati personali
1. Salvo quanto previsto dall'articolo 37, comma 6, in caso di violazione di dati personali, il titolare del trattamento notifica la violazione al Garante con le modalita' di cui all'articolo 33 del regolamento UE. 2. Se la violazione dei dati personali riguarda dati personali che sono stati trasmessi dal o al titolare del trattamento di un altro Stato membro, le informazioni previste dal citato articolo 33 del regolamento UE sono comunicate, senza ingiustificato ritardo, al titolare del trattamento di tale Stato membro. InquadramentoLe previsioni di cui al d.lgs. n. 51/2018 si applicano ai trattamenti svolti da autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Qualora tali autorità trattino dati personali per finalità diverse da quelle menzionate, troveranno applicazione le previsioni contenute nel reg. (UE) 2016/679. Queste ultime, ad esempio, si applicheranno nei casi in cui dati personali raccolti per le finalità di cui al d.lgs. n. 51/2018 siano trattati ulteriormente per adempiere un obbligo legale cui l'autorità è soggetta. È anche il caso in cui un organismo o entità che tratta dati personali per conto dell'autorità competente, in qualità di responsabile del trattamento, presti la sua attività per nell'ambito di finalità di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, perseguite dall'autorità medesima, che rende necessaria la sottoscrizione di contratto o altro atto giuridico, ex art. 28 GDPR, che tenga conto, in aggiunta alle previsioni contenute nel paragrafo 3 del medesimo articolo, anche di tutte le disposizioni ed agli obblighi applicabili ai responsabili del trattamento richiamate nel d.lgs. n. 51/2018. Per quanto riguarda, invece, i trattamenti di dati personali per fini di sicurezza nazionale o difesa, previsto dall'art. 58 del Codice privacy, si rimanda anche a Bolognini, Pelino, 26-27. AdempimentiL'art. 2, comma 1, lett. m), d.lgs. 51/2018, definisce la violazione dei dati personali, come “la violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”. Dunque, l'evento (classificabile tra gli incidenti di sicurezza, benché questi non si riducano sempre ad eventi di violazione di dati personali) definito come “violazione” deve avere ad oggetto dati personali (ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile), e generare un rischio per i diritti e le libertà degli interessati (come individuato negli artt. 33 e 34 del GDPR). Il WP29, nelle lg. notifica delle violazioni di dati personali, rev. 01, richiamando anche la propria op. 03/14, definisce che le violazioni possono essere qualificate sulla base di tre principi sulla sicurezza delle informazioni: «violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali; violazione dell'integrità̀, in caso di modifica non autorizzata o accidentale dei dati personali; violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali». Il reg. (UE) 2016/679 impone al titolare del trattamento di notificare all'Autorità di Controllo (con gli elementi di cui al paragrafo 3 dell'art. 33) qualsiasi violazione dei dati personali, a meno che non sia improbabile generi un rischio per i diritti e le libertà delle persone fisiche (art. 33, paragrafo 1), che il WP29 definisce “effetti negativi”, quali i «danni fisici, materiali o immateriali, ad esempio la perdita del controllo da parte degli interessati sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l'usurpazione d'identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale, nonché qualsiasi altro danno economico o sociale significativo alle persone fisiche interessate». Laddove, poi, il rischio che la violazione di dati comporta sia elevato per i diritti e le libertà delle persone fisiche (art. 34, paragrafo 1, del GDPR) il titolare del trattamento è tenuto a comunicare la violazione a tutti gli interessati (con gli elementi di cui al paragrafo 3 dell'art. 34) i cui dati personali sono stati oggetto di violazione. Il grado di elevatezza del rischio è rapportato anche alla tipologia di danno all'interessato, e comprendere generalmente danni fisici, materiali o immateriali, soprattutto con riferimento alla quantità delle informazioni violate ed alla loro qualità (ad esempio, se la violazione riguarda categorie particolari di dati personali, come definiti dall'art. 9, paragrafo 1, del GDPR). La notificazione, da parte del titolare del trattamento, all'Autorità di Controllo (e la conseguente comunicazione agli interessati, ove necessaria) non è sempre dovuta, ma è da effettuarsi solamente se il rischio per i diritti e le libertà degli interessati risulti improbabile. Ad esempio, una perdita momentanea di dati personali trattati e conservati in formato elettronico, pur rappresentando un evento classificabile come violazione dei dati personali, se sono state adottate opportune misure (back-up), potrà non essere oggetto di notifica. Non si dimentichi che qualsiasi violazione, sia essa da notificarsi o meno all'Autorità di Controllo (e da comunicarsi agli interessati, se del caso), deve essere necessariamente annotata dal titolare del trattamento nel registro delle violazioni richiamato al paragrafo 5 dell'art. 33 del GDPR. Ciò precisato, con riferimento all'obbligo di cui all'art. 26 del d.lgs. n. 51/2018 (per le violazioni dei dati personali che derivano dai trattamenti per cui il Decreto è applicato/applicabile), si seguiranno le modalità di notificazione previste dal paragrafo 3 dell'art. 33 del GDPR, con l'eccezione – sulla competenza, e sui poteri di controllo, del Garante per la Protezione dei Dati personali – per i trattamenti effettuati dall'Autorità giudiziaria nell'esercizio delle proprie funzioni giurisdizionali, e dal Pubblico Ministero nell'esercizio delle funzioni giudiziarie. Inoltre, la notifica della violazione deve rispettare il contenuto del menzionato art. 33, e questo anche nei casi in cui la violazione riguarda dati personali che sono stati trasmessi dal o al titolare del trattamento di un altro Stato membro, che dovrà, pertanto, riceverla senza ingiustificato ritardo. BibliografiaBolognini, Pelino, Codice privacy: tutte le novità del d.lgs. 101/2018, Milano, 2018. |
