Cassinate - Il responsabile del trattamento dei dati avrebbe già dovuto verificare se sussistono i “requisiti idonei” di scurezza dei dati, e quindi se i server sono custoditi in modo adeguato, debitamente protetti, chiusi chiave con porta di scurezza
Di recente si è verificato un caso di un furto di alcuni HD perpetrato all’interno degli Uffici di un Comune.
Un fatto grave ben oltre il danno materiale che intacca direttamente la privacy dei cittadini con un danno economico di non poco conto per le casse comunali, se non sono state attivate le prescritte azioni previste dal Codice della privacy oggi GDPR.
Il responsabile del trattamento dei dati avrebbe già dovuto verificare se sussistono i “requisiti idonei” di scurezza dei dati, e quindi se i server sono custoditi in modo adeguato, debitamente protetti, chiusi chiave con porta di scurezza, etc.
Nonostante le precauzioni si possono verificare delle perdite di dati per qualsiasi motivo, il furto rientra in una delle ipotesi di perdita dei dati. E’ sempre in capo al Responsabile del trattamento dei dati, e di rimando al Sindaco che lo ha prescelto, attivare la procedura di notifica “immediata” (data breach notification) e comunque non oltre le 72 ore dall’accaduto informando il Garante della Privacy.
Infatti l’art 33 del GDPR prevede espressamente “ in caso di violazione dei dati personali il responsabile del trattamento notifica la violazione all’Autorità di controllo…senza giustificato ritardo entro le 72 ore dall’accaduto” .
Quindi informare immediatamente il Garante della Privacy con una dettagliata relazione ed informare contestualmente anche “gli interessati” che sono i proprietari dei dati per capire quale impatto possa causare questa perdita di dati.
Molta superficialità nella gestione della Privacy, fin quando le cose vanno bene, ve bene per tutti, poi succede qualcosa e si scopre che le sanzioni sono elevatissime. In questo caso ai sensi dell’art 83 del GDPR le sanzioni arrivano fino ad un massimo di 20 MLN di Euro.
Chi paga? Il Comune in prima istanza e sarà poi il sindaco ad avviare una fase ricognitiva interna per capire chi ha commesso qualche errore ad iniziare dalla stessa responsabilità del Sindaco nella scelta di un DPO non con le necessarie competenze specialistiche. Anche lo stesso DPO se avesse omesso di evidenziare delle carenze è chiamato a rispondere della perdita di dati .
Sono molti i Comuni che non hanno mai attivato un SGP (Sistema di Gestione Privacy) limitandosi alla sola nomina del DPO nella speranza che nulla mai accada, ma quando poi succede sono dolori seri!
Articolo precedente
In Ciociaria quattro milioni di ore di cassa integrazione: ora il futuro fa pauraArticolo successivo
Secondo Trofeo Prime Lame Città di Fondi