Il garante privacy spagnolo mette a disposizione dei titolari del trattamento un tool che li facilita nell’adempimento dell’obbligo di comunicazione dei data breach.
Il garante privacy spagnolo, AEPD, ha creato uno strumento in grado di facilitare la comunicazione di data breach agli interessati nel caso sussistesse un rischio elevato, come indicato dall’art. 34 del GDPR, per i diritti e le libertà delle persone fisiche.
L’obiettivo del tool spagnolo denominato “Comunica-Brecha RGPD” (Comunica-Violazione GDPR) è quello di “promuovere la trasparenza e la responsabilità proattiva tra i titolari del trattamento dei dati”.
L’articolo 34, paragrafo 2, del GDPR prevede l’obbligo del titolare di comunicare all’interessato il data breach “con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d)”, ossia (i) una descrizione della natura della violazione; (ii) il nome e il contatto del DPO o di altro punto di contatto; (iii) una descrizione delle possibili conseguenze derivanti dalla violazione, (iv) una descrizione delle misure adottate o da adottare per rimediare alla violazione o, almeno, attenuarne i possibili effetti negativi.
Si tratta di uno strumento gratuito consistente in un modulo grazie al quale si facilita l’applicazione dei criteri di base che possono essere indicativi del rischio associato ad una violazione della sicurezza, ovviamente garantendo che i dati forniti non vengano memorizzati.
I titolari del trattamento che dovessero volerne usufruire, dovranno dunque compilare il modulo, che una volta completato aprirà tre possibili scenari, a seconda delle informazioni inserite:
- è necessario informare le persone interessate dalla violazione alla luce del rischio elevato rilevato;
- non è necessario notificare la violazione;
- non è stato possibile determinare il livello di rischio.
Il Garante spagnolo, tuttavia, tiene a sottolineare come si tratti di uno strumento che non esclude la necessità del titolare del trattamento di effettuare la valutazione del livello di rischio, essendo lo stesso consapevole degli estremi del trattamento dei dati personali che sta effettuando, le caratteristiche degli interessati, le circostanze della violazione della sicurezza e gli altri fattori che consentono di ottenere un’accurata valutazione del rischio.
Un tool simile, denominato”Notify”, è stato creato da DLA Piper per facilitare la valutazione circa la necessità di notificare il data breach al Garante della Privacy e di comunicarlo agli interessati ai sensi, rispettivamente, degli artt. 33 e 34 del GDPR. Il tool è stato creato in base ai criteri oggettivi pubblicati dall’ENISA circa la valutazione della gravità del danno, che è strumentale ai fini della valutazione della necessità di tale notifica.
Su di un simile argomento è possibile ascoltare il podcast “La comunicazione di un data breach secondo il Garante privacy”.
Autore: DLA Piper
