DOMANDA
Se affido tutti i miei dati ad un fornitore e questo subisce una violazione, da quando scattano le 72 ore per effettuare la notifica al Garante? Da quando la violazione la subisce il fornitore o da quando lo vengo a sapere io?
RISPOSTA
La legge (art. 33 del GDPR e le Linee guida del WP29 sul data breach) stabilisce che, per iniziare a calcolare le 72 ore, il titolare debba essere venuto davvero “a conoscenza” della violazione, cioè deve sussistere un ragionevole grado di certezza in merito alla verificazione di un incidente di sicurezza.
Non sarebbe quindi da ritenersi idonea, per esempio, una semplice telefonata con la quale il fornitore avvisa il titolare che qualcosa potrebbe essere accaduta ma senza ulteriori dettagli.
Il tempo inizia a decorrere nel momento in cui il titolare acquisisce piena consapevolezza dell’avvenuta violazione e non, quindi, sin dalla cosiddetta fase di investigazione che pone in essere il fornitore.
Tuttavia, il WP29 chiarisce che il comportamento del titolare, già informato di una possibile infrazione, può essere valutato anche sulla base della sua tempestiva attivazione. In altre parole, gli accertamenti sull’accaduto e le comunicazioni tra fornitore e titolare non devono essere volutamente prolungate per dilatare l’avvio del termine di 72 ore.
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
