L’Agenzia danese per la protezione dei dati ha preso una decisione in un caso in cui il Servizio carcerario e di libertà vigilata danese è venuto a conoscenza di informazioni su una possibile violazione, ma non ha indagato rapidamente sull’incidente per chiarire se si trattasse di una violazione di dati personali.
L’Agenzia danese per la protezione dei dati ha preso una decisione in un caso in cui un gruppo di dipendenti del Servizio danese per le carceri e la libertà vigilata ha creato un gruppo Messenger chiuso su Facebook, in cui avvenivano comunicazioni ufficiali tra i dipendenti di Storstrøm Fængsel sui detenuti del carcere e sui dipendenti del Servizio danese per le carceri e la libertà vigilata.
Il Servizio carcerario e di libertà vigilata danese ha ricevuto diverse richieste di informazioni da parte di un dipendente che temeva una violazione della sicurezza dei dati personali, dato che nel gruppo chiuso di Messenger avvenivano comunicazioni legate al lavoro. Nonostante le richieste, il Servizio carcerario e di libertà vigilata danese ha indagato sul caso solo sei mesi dopo aver ricevuto la prima richiesta.
L’Agenzia danese per la protezione dei dati ha criticato il Servizio carcerario e di libertà vigilata danese per non aver indagato rapidamente sulla possibile violazione al fine di chiarire se si trattasse di una violazione dei dati personali e, di conseguenza, per non aver segnalato la violazione all’Agenzia danese per la protezione dei dati in modo tempestivo, ossia senza ritardi ingiustificati e, se possibile, entro 72 ore da quando il Servizio carcerario e di libertà vigilata danese è venuto a conoscenza della violazione.
Quando si considera che il responsabile del trattamento dei dati sia a conoscenza di una violazione?
L’Agenzia danese per la protezione dei dati ritiene che il titolare del trattamento sia generalmente considerato a conoscenza di una violazione quando un suo dipendente ne viene a conoscenza. Se il titolare del trattamento è in dubbio se si sia verificata una violazione dei dati personali, la presunzione che si sia verificata una violazione dovrebbe indurre il titolare del trattamento a indagare ulteriormente sull’incidente per chiarire se si sia effettivamente verificata una violazione dei dati personali. L’indagine deve avvenire il prima possibile e il titolare del trattamento deve stabilire con un ragionevole grado di certezza se si è verificata una violazione e se l’incidente deve essere notificato all’Agenzia danese per la protezione dei dati.