Passa ai contenuti principali
Bandiera dell'Unione europea
italiano
Iniziativa dei cittadini europei

Orientamenti sulla protezione dei dati - Domanda 11

Torna alla pagina principale degli orientamenti sulla protezione dei dati per gli organizzatori

 

Orientamenti sulla protezione dei dati - Domanda 11

Cosa fare in caso di violazione dei dati personali?  

Vale per lo scenario 2, tranne per quanto riguarda l'uso del servizio di scambio file della Commissione

Per violazione dei dati personali s'intende una violazione della sicurezza che comporta in modo accidentale o illecito la distruzione, la perdita, la modifica, la comunicazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque trattati.

Notifica della violazione dei dati personali

In caso di violazione dei dati personali, il rappresentante del gruppo di organizzatori deve notificare tempestivamente e in linea di principio entro 72 ore dal momento in cui ne è venuto a conoscenza la violazione all'autorità competente per la protezione dei dati, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

La notifica deve comprendere come minimo:

  • una descrizione della violazione dei dati, con indicazione del numero di firmatari e delle categorie di dati interessati
  • nome e recapiti del responsabile della protezione dei dati (o altro referente)
  • le probabili conseguenze della violazione dei dati dopo averne esaminato l'oggetto nonché
  • eventuali misure adottate dal titolare del trattamento per porre rimedio alla violazione o attenuarne l'impatto.

Qualora risulti impossibile fornire le informazioni contemporaneamente, è consentito fornirle in fasi successive senza indugio.

Il rappresentante è inoltre tenuto a documentare i fatti, i loro effetti e le contromisure già adottate (o da adottare con urgenza, fornendo la relativa programmazione).

Rischi per i diritti e le libertà

Inoltre, qualora la violazione possa comportare un rischio elevato per i diritti e le libertà dei firmatari, questi vanno informati di conseguenza, tranne quando:

  • le misure adottate (come la cifratura, a condizione che la chiave non sia compromessa) hanno reso i dati incomprensibili o garantiscono che i rischi non si verifichino più, oppure
  • la comunicazione ai singoli firmatari comporterebbe uno sforzo sproporzionato. In tal caso, per informare i firmatari si può ricorrere invece a un avviso pubblico della violazione.

ATTENZIONE: 

in caso di trattamento dei dati in regime di contitolarità con la Commissione, e a meno che la violazione dei dati non sia imputabile al comportamento dei membri del gruppo di organizzatori, gli obblighi di cui sopra vengono assunti dalla Commissione. Il gruppo di organizzatori dovrebbe assistere, se necessario e nella misura del possibile, la Commissione nella gestione delle violazioni dei dati personali.

Riferimenti:

Desideri saperne di più e collaborare?
Visita il forum!