Quali comportamenti adottare nel caso in cui i dati dei condòmini vengano sottratti o dispersi? Cosa deve fare l’amministratore di condominio? Entro quanto tempo?
Sei nel panico perchè dei malviventi sono entrati nel tuo studio e fra le varie cose, hanno sottratto anche dei faldoni contenenti numerosi dati personali dei condòmini di alcuni stabili che amministri. Oltre a sporgere denuncia, ti stai chiedendo cosa fare, a chi rivolgerti ed entro quando, per prevenire un utilizzo illecito di quei dati.
Nelle righe che seguono cercheremo di rispondere a questi interrogativi, provando a comprendere cosa deve fare l’amministratore di condominio in caso di fuga di dati.
Cos’è una fuga di dati (Data breach)?
Un data breach, o violazione dei dati personali, consiste in una divulgazione non autorizzata di dati personali e informazioni riservate, a causa di un incidente nel sistema di sicurezza mediante il quale tali dati sono conservati.
Il data breach è un evento, accidentale o intenzionale, che può consistere in un furto, una captazione, una dispersione di dati personali, che con riferimento alla realtà condominiale, possono essere ad esempio: indirizzo, numeri di telefono, iban, informazioni mediche ecc.
Possono esserci diverse cause all’origine di un data breach, come ad esempio:
- Attacchi informatici: come hackeraggio, malware, phishing o attacchi di ingegneria sociale;
- Errori umani: come smarrimento di documenti o dispositivi contenenti dati personali o ancora configurazioni errate dei sistemi informatici;
- Incidenti fisici: come furto di dispositivi o distruzione di infrastrutture IT.
Le conseguenze di un data breach possono essere gravi:
- Danni finanziari: per le persone colpite, che possono subire furti di identità, frodi o perdite economiche;
- Danni alla reputazione: per le aziende o gli enti coinvolti, che possono perdere la fiducia dei clienti o dei cittadini;
- Sanzioni legali: se il data breach è avvenuto per il mancato rispetto delle normative sulla protezione dei dati personali.
Occorre pertanto comprendere come comportarsi nel caso in cui avvenga uno di questi eventi, al fine di agire conformemente a quanto previsto dal Regolamento Europeo per la protezione dei dati personali (GDPR).
Cosa fare in caso di fuga di dati personali?
L’art. 33 del GDPR prevede che in caso di violazione dei dati personali, il titolare del trattamento debba notificare la violazione all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Le notifiche inviate oltre il termine delle 72 ore devono essere accompagnate da una giustificazione del ritardo.
Al punto 2 poi è previsto che il responsabile del trattamento debba informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
Pertanto, declinando tutto ciò all’ambito condominiale, nel caso in cui l’amministratore di condominio sia contitolare del trattamento dei dati personali, dovrà inviare lui stesso la comunicazione della fuga di dati al Garante della Privacy entro 72 ore, nel caso in cui invece sia intervenuta nomina come responsabile del trattamento, l’amministratore dovrà avvisare i condòmini, titolari, che provvederanno a notificare al Garante l’accaduto.
In base a quanto previsto dal punto 3 dell’art. 33 del GDPR, la notifica dovrà contenere:
- La descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché il numero approssimativo di registrazioni dei dati personali in questione;
- L’indicazione del nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- La descrizione delle probabili conseguenze della violazione dei dati personali;
- L’indicazione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
Come inviare la notifica di una fuga di dati al Garante?
Con provvedimento del provvedimento del 27 maggio 2021 il Garante ha disposto che dal 1 luglio 2021 le notifiche delle violazioni dati personali devono essere effettuate esclusivamente in modalità telematica.
Per procedere alla notifica del data breach l’amministratore di condominio dovrà seguire i seguenti passaggi:
- Accedere al portale dei servizi online del Garante;
- Registrarsi o autenticarsi al portale utilizzando credenziali SPID (livello 2) o CIE 3.0.
- Compilare il modulo di notifica online, inserendo tutte le informazioni richieste, tra cui:
- Dati del titolare del trattamento: nome, ragione sociale, indirizzo, email, PEC, numero di telefono.
- Dati dell’incidente: data e ora dell’incidente, natura e gravità della violazione, dati coinvolti, misure di contenimento adottate.
- Dati dei soggetti interessati: numero di persone coinvolte, tipologia di dati personali compromessi.
- Allegare la documentazione a supporto della notifica, se disponibile.
- Inviare la notifica al Garante.
Il Garante invierà una ricevuta di avvenuta ricezione della notifica e, se necessario, richiederà ulteriori informazioni.
In ogni caso, è consigliabile rivolgersi a un professionista esperto in materia di protezione dei dati personali per ricevere assistenza nella compilazione della notifica e nell’adempimento degli obblighi previsti dal GDPR.
