Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ESPERTO RISPONDE

Il fornitore esterno ha subito una violazione: da quando scattano per il titolare del trattamento le 72 ore per la notifica al Garante?

19 Set 2018

Guglielmo Troiano

avvocato, P4I


DOMANDA

Se affido tutti i miei dati ad un fornitore e questo subisce una violazione, da quando scattano le 72 ore per effettuare la notifica al Garante? Da quando la violazione la subisce il fornitore o da quando lo vengo a sapere io?

RISPOSTA

La legge (art. 33 del GDPR e le Linee guida del WP29 sul data breach) stabilisce che, per iniziare a calcolare le 72 ore, il titolare debba essere venuto davvero “a conoscenza” della violazione, cioè deve sussistere un ragionevole grado di certezza in merito alla verificazione di un incidente di sicurezza.

Non sarebbe quindi da ritenersi idonea, per esempio, una semplice telefonata con la quale il fornitore avvisa il titolare che qualcosa potrebbe essere accaduta ma senza ulteriori dettagli.

Il tempo inizia a decorrere nel momento in cui il titolare acquisisce piena consapevolezza dell’avvenuta violazione e non, quindi, sin dalla cosiddetta fase di investigazione che pone in essere il fornitore.

Tuttavia, il WP29 chiarisce che il comportamento del titolare, già informato di una possibile infrazione, può essere valutato anche sulla base della sua tempestiva attivazione. In altre parole, gli accertamenti sull’accaduto e le comunicazioni tra fornitore e titolare non devono essere volutamente prolungate per dilatare l’avvio del termine di 72 ore.

Mandate i vostri quesiti ai nostri esperti

Quesiti legal: espertolegal@cybersecurity360.it

Quesiti tecnologici: espertotech@cybersecurity360.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 5