Dal 12 dicembre 2018, ai sensi del regolamento (UE) 1725/2018, tutte le istituzioni e gli organismi europei hanno l’obbligo di segnalare alcuni tipi di violazioni dei dati personali al GEPD. Ogni istituzione dell’UE deve farlo entro 72 ore dalla presa di coscienza della violazione, laddove fattibile. Se la violazione rischia di comportare un rischio elevato di pregiudicare i diritti e le libertà delle persone, l’Istituzione UE deve anche informare le persone interessate senza inutili ritardi.
Le istituzioni dell’UE devono garantire di disporre di meccanismi di prevenzione e individuazione delle violazioni dei dati personali, nonché di indagini e procedure interne di segnalazione. Devono inoltre garantire che quando identificano una violazione dei dati personali, siano in grado di rispondere efficacemente per attenuare gli effetti negativi della violazione sulle persone i cui dati sono stati compromessi. Devono inoltre tenere un registro di tutte le violazioni dei dati personali, inclusi tutti i dettagli sulla violazione, indipendentemente da eventuali obblighi di notifica al GEPD.
In che modo le istituzioni e gli organi dell’UE devono rispondere a una violazione dei dati personali?
Il GEPD ha pubblicato linee guida sulla notifica delle violazioni dei dati personali per le istituzioni e gli organi dell’UE. Questi forniscono consigli pratici su come rispettare il regolamento. Le linee guida delineano l’approccio che dovresti adottare per rispondere adeguatamente a una violazione dei dati personali.
Le linee guida, raggiungibili a questo indirizzo, contengono principi validi ovviamente per tutte le ipotesi di violazione di dati personali e non soltanto quelle che devono essere comunicate al GEPD: https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidelines-personal-data-breach-notification_en.
(al momento è disponibile solamente il testo in lingua inglese).