Ispezioni GDPR per le Aziende 2019: ecco come farsi trovare preparati

Ecco alcune indicazioni utili sulle Ispezioni GDPR per le Aziende: in particolare alcune criticità potrebbero mettere in difficoltà le PMI e pertanto occorre farsi trovare preparati.

Ispezioni GDPR Aziende 2019: nodi cruciali e criticità che le PMI devono attenzionare in modo particolare.

Questo perchè, in base alle nuove regole del GDPR, incorrere nella violazione di dati personali (il cosiddetto Data Breach) per le Aziende può costare davvero molto caro.

Scopriamo, pertanto, quali sono i punti cruciali della questione.

Ispezioni GDPR per le Aziende 2019

I controlli sono già effettivamente in corso: il programma ispettivo dell’Autorità Garante prevede centinaia e centinaia di ispezioni distribuite fino alla fine di quest’anno. Programma che il Garante, in virtù dell’accordo con la Guardia di Finanza, sta portando avanti in maniera puntuale con attività ispettive svolte da personale preparato specificamente.

Nello specifico, sappiamo che una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

Esempi di criticità possono essere considerati:

• l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
• il furto o la perdita di dispositivi informatici contenenti dati personali;
• la deliberata alterazione di dati personali;
• l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
• la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
• la divulgazione non autorizzata dei dati personali.

La violazione va notificata al Garante della Privacy

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).

Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.

L’invio della Notifica

La notifica deve essere inviata al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali.

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.