L’Agenzia danese per la protezione dei dati ha effettuato 16 ispezioni programmate sulla gestione delle violazioni dei dati personali da parte di comuni e banche. L’Agenzia danese per la protezione dei dati ha trovato motivo di critica in due casi.
Nell’estate e nell’autunno del 2021, l’Agenzia danese per la protezione dei dati ha avviato ispezioni scritte sulla gestione delle violazioni dei dati personali da parte di otto grandi comuni e otto grandi banche.
Le verifiche sono state organizzate in modo tale da dividere i comuni e le banche in due gruppi: quelli che avevano segnalato il maggior numero di violazioni e quelli che ne avevano segnalate di meno in relazione alla popolazione del comune e al numero di dipendenti della banca, rispettivamente.
“Una delle novità introdotte dal GDPR poco più di cinque anni fa è che i responsabili del trattamento dei dati devono segnalare tutte le violazioni dei dati personali all’Agenzia danese per la protezione dei dati entro 72 ore e devono documentare internamente tutte le violazioni dei dati personali, indipendentemente dal fatto che vengano segnalate o meno all’Agenzia danese per la protezione dei dati. Inoltre, ora c’è un’attenzione maggiore su ciò che le aziende e le autorità devono considerare quando i dati dei clienti o dei cittadini vengono trattati in modo errato per errore”, afferma Vibeke Dyssemark Thomsen, consulente capo dell’Agenzia danese per la protezione dei dati, e prosegue:
“Questo può, ad esempio, portare alla necessità di introdurre nuove o ulteriori misure di sicurezza per ridurre il rischio di ulteriori violazioni. Per questo motivo, abbiamo sottoposto l’area a una revisione del servizio, esaminando le procedure e prendendo alcuni campioni casuali. La conclusione è che i 16 comuni e le banche selezionate sembrano avere la giusta attenzione al rispetto delle regole”.
Il gruppo con il maggior numero di violazioni segnalate
Per quanto riguarda il gruppo con il maggior numero di violazioni segnalate, le autorità di vigilanza si sono concentrate, tra l’altro, sul fatto che i comuni e le banche avessero adottato misure di sicurezza adeguate per ridurre il numero di violazioni di dati personali in cui si era verificata una divulgazione non autorizzata di dati personali in relazione alla trasmissione di informazioni ai cittadini, alle autorità, ecc.
Il rispetto delle norme sulla sicurezza del trattamento comporterà di norma che:
- Il titolare del trattamento deve garantire che le informazioni sugli interessati, compresi i dati personali particolarmente riservati e sensibili, non vengano a conoscenza di persone non autorizzate. A questo proposito, il titolare del trattamento deve garantire che tutti i dipendenti dell’organizzazione conoscano le procedure interne per il trattamento dei dati personali, anche in relazione alla trasmissione di dati personali a cittadini, autorità, ecc.
- Le procedure, le linee guida, i flussi di lavoro, le misure tecniche di sicurezza, ecc. vengono continuamente aggiornati o introdotti, anche a seguito di violazioni di dati personali identificate.
Su questa base, l’Agenzia danese per la protezione dei dati ha riscontrato che tutti i responsabili del trattamento hanno adottato misure di sicurezza adeguate. Nella sua valutazione, l’Agenzia danese per la protezione dei dati ha sottolineato che:
- Sono state preparate procedure, ecc. e sono state svolte attività di formazione dei dipendenti in materia di protezione dei dati, anche al fine di garantire che siano consapevoli che i dati personali non vengano inavvertitamente divulgati al destinatario sbagliato.
- Le società hanno preso in considerazione e implementato costantemente misure tecniche e organizzative sulla scia delle passate violazioni dei dati personali, al fine di prevenire violazioni analoghe.
- C’è una forte attenzione ad evitare la divulgazione involontaria di informazioni riservate, che è supportata da procedure aziendali, linee guida continue, ecc. e misure sistemiche, ecc.
Il gruppo con il minor numero di violazioni notificate
Per il gruppo con il minor numero di violazioni notificate, le attività di vigilanza si sono concentrate sul fatto che i comuni e le banche notificassero e documentassero le violazioni dei dati personali in conformità con i requisiti del Regolamento generale sulla protezione dei dati, comprese le loro procedure di gestione e registrazione delle violazioni dei dati personali.
L’Agenzia danese per la protezione dei dati ha dichiarato in questi casi che, a suo parere, il rispetto delle norme secondo cui le violazioni dei dati personali devono essere generalmente segnalate all’Agenzia danese per la protezione dei dati entro 72 ore significa che:
- Il titolare del trattamento deve stabilire procedure e linee guida adeguate per garantire che le violazioni siano individuate e gestite correttamente.
- A questo proposito, il titolare del trattamento deve garantire che tutti i dipendenti dell’organizzazione conoscano le procedure interne per la gestione delle violazioni dei dati personali nella misura necessaria e che i dipendenti interessati siano in grado di identificare, gestire e valutare le violazioni dei dati personali.
L’Agenzia danese per la protezione dei dati ha riscontrato che tutti i responsabili del trattamento dei dati hanno generalmente adottato procedure e linee guida adeguate, ecc. e hanno svolto attività di formazione appropriate che possono supportare la conformità ai requisiti del GDPR sulla notifica delle violazioni dei dati personali. In questo modo, possono garantire che le violazioni dei dati personali siano rilevate nell’organizzazione in modo da poterle valutare ai fini dell’eventuale segnalazione all’Agenzia danese per la protezione dei dati, così come è possibile documentare le violazioni, compresi, tra l’altro, i motivi per cui non sono state segnalate all’Agenzia danese per la protezione dei dati.
Tuttavia, l’Agenzia danese per la protezione dei dati ha osservato, in relazione a tutti gli audit, che l’Agenzia danese per la protezione dei dati non ha avuto l’opportunità di valutare specificamente se tutti i dipendenti interessati abbiano completato le attività di formazione in questione e che l’Agenzia danese per la protezione dei dati non conosce l’intero contenuto del materiale di formazione, compreso il contenuto, ad esempio, delle iniziative di sensibilizzazione in corso.
Inoltre, l’Agenzia danese per la protezione dei dati ha dichiarato che la norma secondo cui il responsabile del trattamento deve documentare tutte le violazioni dei dati personali, comprese le circostanze effettive della violazione dei dati personali, i suoi effetti e le misure correttive adottate, deve, tra l’altro, garantire che l’Agenzia danese per la protezione dei dati sia in grado di verificare il rispetto della disposizione sulla notifica delle violazioni dei dati personali. Pertanto, i responsabili del trattamento dei dati devono documentare le motivazioni di tutte le decisioni significative prese a seguito della violazione. Ciò vale anche nel caso in cui il titolare del trattamento, dopo aver valutato la violazione, abbia deciso di non notificarla all’Agenzia danese per la protezione dei dati. In relazione a questa decisione, la documentazione deve includere una spiegazione dettagliata del motivo per cui il responsabile del trattamento ritiene improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche.
Criticità in due casi
Come accennato, due casi sono stati criticati e riguardano il fatto che due comuni non hanno documentato tutte le violazioni dei dati personali.
In un caso, l’Agenzia danese per la protezione dei dati ha espresso serie critiche sul fatto che il Comune di Roskilde non ha documentato il numero di violazioni dei dati personali che il Comune ha identificato nel periodo compreso tra il 25 maggio 2018 e il settembre 2019, e che il Comune non è in grado di documentare se gli incidenti di sicurezza registrati a partire dal settembre 2019 costituiscano effettive violazioni dei dati personali.
Nel secondo caso, l’Agenzia danese per la protezione dei dati ha criticato il Comune di Frederikshavn per non aver documentato il numero di violazioni dei dati personali identificate dal Comune nel 2018.
L’Agenzia danese per la protezione dei dati osserva che l’elenco delle violazioni – oltre a servire come documentazione per l’Agenzia danese per la protezione dei dati – dovrebbe anche essere utilizzato dal titolare del trattamento per, tra l’altro, ottenere una panoramica di quali violazioni si verificano tipicamente nell’organizzazione e, su tale base, considerare se, sulla base di una valutazione del rischio, vi sia la necessità di implementare misure nuove o aggiuntive per evitare o ridurre il rischio di ulteriori violazioni. Dalle risposte alla consultazione ricevute risulta inoltre che molti dei responsabili del trattamento utilizzano attivamente gli elenchi a questo scopo.