Sulla privacy e la violazione dei dati personali, l’Autorità Garante Gpdp ha messo a disposizione dal 1° luglio una procedura per la notifica, da effettuare soltanto quando le violazioni possana avere “effetti avversi significativi” sulle persone. Lo segnala Federfarma, con la propria Circolare 410/2021 (disponibile sul sito nell’area riservata).

Dal 1° luglio 2021, il Garante della Privacy ha messo a disposizione un’apposita procedura telematica per effettuare una notifica di violazione di dati personali.

Il Garante della Privacy ha messo a disposizione sul proprio sito una procedura telematica con strumenti di valutazione e istruzioni sulle azioni da intraprendere e i contenuti da comunicare per semplificare il compito dei titolari del trattamento dei dati personali (vedi Circolare 410 di Federfarma).

La circolare di Federfarma riporta alcuni chiarimenti utili sulla materia.

Che cos’è una violazione dei dati personali?

La violazione di dati personali, il cosiddetto data breach, è una violazione di sicurezza che comporta -accidentalmente o in modo illecito- la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali. Può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Per esempio: accesso o acquisizione dei dati da parte di terzi non autorizzati; furto o perdita di dispositivi informatici contenenti dati personali; deliberata alterazione di dati personali; impossibilità di accedere ai dati per cause accidentali o per attacchi esterni (virus, malware, eccetera); perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; divulgazione non autorizzata dei dati personali.

Che cosa fare in caso di violazione dei dati personali?

Il titolare del trattamento (titolare di farmacia, associazione provinciale, unione regionale) “senza ingiustificato ritardo” e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia “improbabile” che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Quali violazioni di dati personali vanno notificate?

Devono essere notificate unicamente le violazioni di dati personali che possono avere “effetti avversi significativi” sugli individui, causando danni fisici, materiali o immateriali.

Per esempio: perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

Per ulteriori chiarimenti e approfondimenti si rimanda alla lettura della Circolare 410/2021, nella quale Federfarma ricorda inoltre che la piattaforma Farmaprivacy prevede una specifica sezione dedicata all’argomento.