Cosa prevede la normativa
Gli artt. 33 e 34 del GDPR e il Provvedimento del Garante 27 novembre 2008 impongono al Titolare obblighi di notifica al Garante (entro 72 ore dalla conoscenza) e di comunicazione agli interessati (in caso di rischio elevato per i loro diritti e libertà).
Procedura interna applicata
- Rilevazione e segnalazione — chiunque venga a conoscenza di un possibile incidente lo segnala immediatamente al Titolare.
- Valutazione — analisi della natura, categorie e numero di interessati, conseguenze probabili, misure adottate o proposte.
- Contenimento e rimedio — attivazione delle misure tecniche e organizzative per limitare gli effetti.
- Notifica al Garante — entro 72 ore quando l'evento comporti rischio per i diritti e libertà degli interessati (art. 33 GDPR).
- Comunicazione agli interessati — senza ingiustificato ritardo, in caso di rischio elevato (art. 34 GDPR).
- Registrazione — ogni violazione, anche se non notificata, è registrata nel Registro interno delle violazioni.
Quando il Garante non viene notificato
La notifica non è dovuta se la violazione è improbabile presenti un rischio per i diritti e le libertà delle persone fisiche (es. dati cifrati con chiave non compromessa). L'evento è comunque registrato internamente.
Cosa contiene la comunicazione agli interessati
- Descrizione della natura della violazione.
- Punto di contatto per maggiori informazioni.
- Conseguenze probabili.
- Misure adottate o proposte per attenuare gli effetti.
Tempi di risposta
Notifica al Garante entro 72 ore dalla conoscenza dell'evento. La comunicazione agli interessati avviene senza ingiustificato ritardo quando ricorre il rischio elevato.
Come segnalarci un possibile incidente
Se ritieni che i tuoi dati abbiano subito una violazione, scrivi tempestivamente a info@pmiservizi.it o PEC a pmiservizisrl@pec.it. Vedi anche la pagina Diritti dell'interessato.
Cosa fare se la risposta non ti soddisfa
Reclamo al Garante o ricorso giurisdizionale.