LA COMPLIANCE DELLO STUDIO LEGALE TRA OBBLIGHI NORMATIVI E DEONTOLOGICI

Transcript

1 LA COMPLIANCE DELLO STUDIO LEGALE TRA OBBLIGHI NORMATIVI E DEONTOLOGICI Il Codice Deontologico pur non contenendo disposizioni concernenti direttamente il trattamento dei dati personali prevede che: Art. 1 c. 2 L avvocato, nell esercizio del suo ministero, vigila sulla conformità delle leggi ai principi della Costituzione e dell Ordinamento dell Unione Europea e sul rispetto dei medesimi principi, nonché di quelli della Convenzione per la salvaguardia dei diritti dell uomo e delle libertà fondamentali, a tutela e nell interesse della parte assistita. Art. 13 L avvocato è tenuto, nell interesse del cliente e della parte assistita, alla rigorosa osservanza del segreto professionale e al massimo riserbo su fatti e circostanze in qualsiasi modo apprese nell attività di rappresentanza e assistenza in giudizio, nonché nello svolgimento dell attività di consulenza legale e di assistenza stragiudiziale e comunque per ragioni professionali. Art. 28 È dovere, oltre che diritto, primario e fondamentale dell avvocato mantenere il segreto e il massimo riserbo sull attività prestata e su tutte le informazioni che gli siano fornite dal cliente e dalla parte assistita, nonché su quelle delle quali sia venuto a conoscenza in dipendenza del mandato. 2. L obbligo del segreto va osservato anche quando il mandato sia stato adempiuto, comunque concluso, rinunciato o non accettato

2 . L avvocato deve adoperarsi affinché il rispetto del segreto professionale e del massimo riserbo sia osservato anche da dipendenti, praticanti, consulenti e collaboratori, anche occasionali, in relazione a fatti e circostanze apprese nella loro qualità o per effetto dell attività svolta. 4. È consentito all avvocato derogare ai doveri di cui sopra qualora la divulgazione di quanto appreso sia necessaria: a) per lo svolgimento dell attività di difesa; b) per impedire la commissione di un reato di particolare gravità; c) per allegare circostanze di fatto in una controversia tra avvocato e cliente o parte assistita; d) nell ambito di una procedura disciplinare. In ogni caso la divulgazione dovrà essere limitata a quanto strettamente necessario per il fine tutelato. 5. La violazione dei doveri di cui ai commi precedenti comporta l applicazione della sanzione disciplinare della censura e, nei casi in cui la violazione attenga al segreto professionale, l applicazione della sospensione dall esercizio dell attività professionale da uno a tre anni

3 Art 18 Nei rapporti con gli organi di informazione l avvocato deve ispirarsi a criteri di equilibrio e misura, nel rispetto dei doveri di discrezione e riservatezza; con il consenso della parte assistita, e nell esclusivo interesse di quest ultima, può fornire agli organi di informazione notizie purché non coperte dal segreto di indagine.2. L'avvocato è tenuto in ogni caso ad assicurare l anonimato dei minori. L avvocato nell esercizio dell attività professionale tratta dati personali (quantomeno i dati dei clienti; dei dipendenti e collaboratori; dei fornitori) ed è tenuto a rispettare la normativa in materia di trattamento dei dati personali.

4 PROFILO SOGGETTIVO TITOLARE DEL TRATTAMENTO: persona fisica o giuridica che determina finalità e mezzi di trattamento dei dati personali. Nel caso di libero professionista che esercita la professione in forma non associata è la persona fisica in quanto tale; nel caso di associazioni professionali o società tra professionisti è l entità nel suo complesso; se più avvocati non associati sono in mandato, si parla di CONTITOLARI (due o più titolari che determinano congiuntamente le finalità e i mezzi di trattamento) RESPONSABILE DEL TRATTAMENTO: persona fisica o giuridica che tratta dati personali per conto del titolare da nominare a mezzo contratto o altro atto giuridico. Si tratta di soggetti terzi rispetto lo studio a cui vengono affidati a mezzo contratto o incarico dati personali (es. commercialista; consulenti di parte; interpreti; consulente del lavoro; amministratore di sistema; gestore cloud etc.) su cui il titolare mantiene obbligo di vigilanza e responsabilità a titolo di culpa in eligendo (art. 32 c. 4 Gdpr) INCARICATO (interno) DEL TRATTAMENTO: soggetto interno all organizzazione aziendale su cui il titolare mantiene obbligo di vigilanza e responsabilità a titolo di culpa in eligendo (art. 32 c.4) L ORGANIZZAZIONE INTERNA DELLA GESTIONE DEI DATI PERSONALI COSTITUIRA IL NOSTRO ORGANIGRAMMA PRIVACY DA DISCIPLINARE A MEZZO POLICY AZIENDALE

5 L AVVOCATO DEVE NOMINARE IL DPO? Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali? Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria"). In ogni caso, resta comunque raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

6 DPO L avvocato tra vecchie e nuove sfide E se uno studio ha sede in varie province/regioni o tratta dati per loro natura relativi a persone di diversa provenienza (es. zone turistiche o zone in cui è presente una base militare straniera) e come attività principale tratta dati «particolari» ex art. 9 Gdpr o giudiziari ex art. 10 Gdpr? Oppure se uno studio fornisce consulenze on line (dietro corresponsione di un compenso) e tale attività costituisce parte rilevante del fatturato?

7 LICEITA DEL TRATTAMENTO: CONSENSO ARTT. 6 SS GDPR AUTORIZZAZIONE GENERALE GARANTE PRIVACY N. 4 E 7 DEL 2002 E SS. PP. DATI PERSONALI: non occorre richiedere il consenso del cliente quando il trattamento dei dati "comuni" è necessario per adempiere agli obblighi del contratto di prestazione d'opera; DATI DI TERZI: il consenso non è richiesto quando il trattamento è necessario per svolgere indagini difensive o per far valere o difendere un diritto in sede giudiziaria. DATI «PARTICOLARI»: non occorre richiedere il consenso quando il trattamento è necessario per svolgere indagini difensive o per far valere o difendere un diritto in sede giudiziaria. In tal caso, i dati devono essere trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.

8 . Quando, tra i dati sensibili, si utilizzano quelli idonei a rivelare lo stato di salute e la vita sessuale, il loro trattamento può avvenire senza consenso quando il diritto difeso o fatto valere in giudizio è di rango pari a quello della persona cui si riferiscono i dati. In tal caso, il diritto tutelato deve consistere in un diritto della personalità o in un altro diritto o libertà fondamentale o inviolabile. Nel procedere a tale specifica valutazione, è necessario utilizzare come parametro di raffronto il diritto sottostante che il terzo intende far valere sulla base del materiale documentale che chiede di conoscere, anziché il "diritto di azione e difesa", pure costituzionalmente garantito (e preso per molti altri aspetti in considerazione dal Codice a prescindere dall'"importanza" del diritto sostanziale fatto valere: provv. del Garante 9 luglio 2003). Sempre in materia di dati sulla salute e la vita sessuale, va richiamata l'attenzione sulla necessità di rispettare anche le specifiche prescrizioni dell'autorizzazione generale n. 2/2002.

9 . Il consenso al trattamento dei dati personali ai sensi degli artt. 6 ss. del GDPR deve trovare fondamento su una base giuridica e quindi: per i dati necessari a far valere un diritto in giudizio potrà trovare fondamento nel provvedimento di autorizzazione generale del Garante; per i dati necessari a far valere un diritto in sede stragiudiziale potrà trovare fondamento nel contratto di conferimento di incarico (che stabilità anche le finalità del trattamento); per i dati es. acquisiti a mezzo web per l invio di newsletter dovrà essere acquisito un consenso specifico (e dovrà essere fornita apposita informativa); per i dati es. acquisiti a mezzo web a mezzo di un form «collabora con noi» (es. cv) dovrà essere acquisito un consenso specifico (e dovrà essere fornita apposita informativa) etc. Il sito internet dovrà rispettare la c.d. cookie law in relazione alle eventuali attività di profilazione e dovrà in ogni caso essere dotato di idonea informativa (è dato personale anche l identificativo on line)

10 INFORMATIVA ARTT. 13 E 14 GDPR I principi di trattamento corretto e trasparente implicano che l Interessato sia informato dell esistenza del trattamento e delle sue finalità. Il cliente deve ricevere un'informativa, orale o scritta, prima della raccolta dei dati, ad esempio al momento del conferimento dell'incarico. L avvocato deve rendere l informativa ai soggetti di cui tratta i dati sia in applicazione del D. Lgs 196/2003, che degli artt. 13 e 14 GDPR. Va raccolta in occasione del primo incontro (in cui acquisisce dati personali) ovvero, qualora non sia stata ottenuta presso l interessato, va fornita entro un termine ragionevole e comunque entro 30 giorni Non è necessario fornire l informativa: - se l interessato dispone già dell informazione; - se la registrazione o la comunicazione di dati personali sono necessarie per legge; - se informare l interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato.

11 NOVITA NEL CONTENUTO DELL INFORMATIVA a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

12 Ulteriori contenuti a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; d) il diritto di proporre reclamo a un'autorità di controllo; e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

13 MODELLO DI INFORMATIVA w&_101_struts_action=%2fasset_publisher%2fview_content&_101_assetentryi d=431090&_101_type=document&inheritredirect=false IL CNF NELLE FAQ DEL 28 MARZO 2018 HA FORNITO UN MODELLO DI INFORMATIVA PER I COA LA SCORSA SETTIMANA E STATO PUBBLICATO IL VADEMECUM DEL TRIVENETO

14 PRIVACY BY DESIGN E PRIVACY BY Art. 25 gdpr DEFAULT NELLO STUDIO LEGALE Tenendo conto dello stato dell arte e dei costi di attuazione, nonché della natura, dell ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l intervento della persona fisica. ACCOUNTABILITY

15 WP 29 PARERE 3/2010 ELENCO MISURE COMUNI CHE SODDISFANO IL PRINCIPIO DI ACCOUNTABILITY Definire procedure interne prima di porre in essere nuovi trattamenti; Introdurre policy vincolanti da applicare ai nuovi trattamenti; mappare i processi e gestire l inventario (registro attività di trattamento); Designare un DPO se necessario o funzioni similari; Attuare programmi di formazione, istruzione, sensibilizzazione del personale; Definire procedure per la gestione dei diritti dell interessato; Istituire un meccanismo interno per la gestione dei reclami; Definire procedure interne per la notifica e la comunicazione delle violazioni della sicurezza (data breach); Effettuare la valutazione d impatto sulla protezione dei dati per i trattamenti che comportano rischi specifici; Effettuare procedure di verifica per assicurare che tutte le misure siano applicate ed efficaci

16 MISURE ORGANIZZATIVE: La valutazione delle misure organizzative dipende dalla modalità di gestione dello studio che deve essere orientata ai seguenti principi: Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

17 ESEMPI DI MISURE TECNICHE: Possono essere ritenuti esempi di misure tecniche adeguate le «misure di sicurezza minime» previste dall allegato B del Codice della Privacy Autenticazione informatica e gestione delle credenziali di autenticazione: i singoli incaricati devono essere dotati di credenziali di autenticazione (user id e password; otp ) previo accesso; l assegnazione di un user ID identifica l incaricato del trattamento ed è personale; la password deve essere conservata in luogo non accessibile ad alcuno tranne i soggetto ad essa afferente e deve essere composta da almeno 8 caratteri (maiuscole + minuscole+numeri+segni speciali) e non deve essere direttamente riferibile al soggetto; deve essere modificata al primo accesso e successivamente ogni 6 mesi o ogni 3 mesi per i dati particolari; le credenziali non utilizzate per oltre 6 mesi vanno disattivate; Aggiornamento periodico dell ambito di trattamento;

18 . Protezione degli strumenti elettronici: lo studio deve censire i sistemi hardware e software e valutare la funzionalità alla luce dei principi dell art. 32 gdpr; software: lo studio ad esempio deve essere dotato di sistemi operativi aggiornati e suscettibili di ricevere patch di aggiornamento (es. windows 2000; 2007 e vista non sono a norma); deve essere presente un antivirus aggiornato e deve essere effettuato con regolarità il back up almeno settimanalmente; hardware devono essere dotati di un gruppo di continuità (garantire la resilienza) e di sistemi fisici antivirus es firewall; se i dati vengono mantenuti su un server fisicamente posto in studio verificare la conformità dei locali; se i dati vengono mantenuti su un cloud di un azienda terza sarà necessario contrattualizzare il terzo quale responsabile esterno del trattamento e verificare se i server su cui tali dati sono poggiati ha sede in UE o l azienda abbia aderito e attuato i principi di cui al GDPR; Custodia di copie di sicurezza; Tecniche di cifratura per i dati sulla salute e la vita sessuale;

19 Conservazione documentale informatica I documenti e gli atti sottoscritti digitalmente e le fatture elettroniche trasmessi a mezzo pec devono essere sottoposti a procedure di conservazione documentale in quanto, sia la firma digitale del sottoscrittore che le certificazioni apposte dal gestore pec del mittente che del ricevente, sono soggette a scadenza. Sarà, pertanto, necessario dotarsi di uno spazio di archiviazione presso un soggetto terzo in grado di certificare la validità delle firme alla data di sottoscrizione.

20 TRATTAMENTO DATI MANUALE E CARTACEO Per i dati trattati senza l ausilio di strumenti elettronici (es. fascicoli cartacei) sarà necessario: mantenere un archivio situato in locali con accesso riservato (senza accesso diretto dei clienti e dei terzi) e mantenuti in un armadio chiuso a chiave; Evitare che persone non autorizzate possano conoscere nomi di clienti o di terzi che eventualmente risultino dal contenitore, anonimizzando la copertina;

21 ARCHIVI Art. 2 c. 1 Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. Considerando n. 39 richiede che il trattamento per essere lecito sia : adeguato; pertinente e limitato nel tempo (in attuazione del Principio di Minimizzazione) Art. 5 I dati personali sono: conservati in una forma che consenta l identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all articolo 89, paragrafo 1, fatta salva l attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell interessato («limitazione della conservazione»); Artt. 13 e 14 Il periodo di conservazione dei dati va inserito nell informativa

22 COME GESTIRE L ARCHIVIO DEI DATI? Determinare il periodo di conservazione o individuare i criteri per determinarlo. In alcuni casi è previsto dalla legge (es. per i fascicoli degli avvocati è previsto un termine di conservazione di 10 anni dalla fine della causa; per i dati fiscali può essere utilizzato il termine di 5 anni dei controlli dall Agenzia delle Entrate etc); Scaduto il termine cancellare i dati o anonimizzarli POLICY DATA RETENTION

23 REGISTRO DEI TRATTAMENTI: L art. 30 del GDPR prevede che «ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità». Par. 5 Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10 Gli avvocati per la natura dei dati trattati sono tenuti alla redazione e conservazione del Registro

24 In ogni caso Il registro dei trattamenti (elettronico o cartaceo) è fondamentale, sia per disporre di un quadro aggiornato dei trattamenti svolti, ma anche per un eventuale richiesta di supervisione e richiesta di esibizione dal Garante (ACCOUNTABILITY) Serve a dimostrare che il Titolare o il Responsabile del trattamento si conforma al Gdpr ed ha funzione di : Censire le banche dati e i trattamenti in essere; Rappresentare l organizzazione sotto il profilo dell attività di trattamento ai fini di informazione, consapevolezza e condivisione interna; Costituisce strumento di pianificazione e controllo dei trattamenti per garantire la loro riservatezza e disponibilità; Riduce sprechi di tempo, risorse, duplicazioni di informazioni; Riduce i rischi di trattamento illecito.

25 MODELLO DI REGISTRO DEL TRATTAMENTO Va tenuto in forma scritta, anche in formato elettronico w&_101_struts_action=%2fasset_publisher%2fview_content&_101_assetentryi d=431113&_101_type=document&inheritredirect=false IL CNF HA ELABORATO UN MODELLO DI REGISTRO DEI TRATTAMENTI PER I COA (ADATTABILE ALLO STUDIO PRIVATO)

26 LO STUDIO LEGALE DEVE ESEGUIRE UNA DPIA? L art. 35 par 1 Gdpr prevede che «Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. [ ] La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. IL LEGISLATORE UTILIZZA IL MEDESIMO CRITERIO «TRATTAMENTO SUL LARGA SCALA» UTILIZZATO PER LA NOMINA DEL DPO

27 PAR. 10 Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l'insieme di trattamenti in questione, e sia già stata effettuata una valutazione d'impatto sulla protezione dei dati nell'ambito di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento. Il trattamento di dati sottoposti ad autorizzazione generale del Garante non è soggetto a PIA. Per i trattamenti di dati per fini diversi va effettuata una valutazione. ACCOUNTABLE RISK BASED APPROACH

28 UN MODELLO DI PIA:

29 DATA BREACH RISCHI E OBBLIGHI PER LO STUDIO LEGALE Art. 4 Gdpr definisce «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; Art. 33 In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

30 . 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

31 REGISTRO DELLE VIOLAZIONI 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo. In caso di Data Breach il titolare deve: - compilare il registro delle violazioni; - valutare l impatto della violazione: deve notificare l evento all Autorità salvo il caso in cui sia improbabile che la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà degli interessati; - se è probabile che la violazione costituisca un rischio elevato per i diritti e le libertà degli interessati e il titolare non aveva adottato misure tecniche e organizzative per proteggere i dati personali oggetto di violazione; né successivamente ha adottato misure in grado di scongiurare tale pericolo deve comunicare la violazione all interessato (art. 34 Gdpr)

32 Grazie per l attenzione!