Perdere la chiavetta Usb con i fascicoli virtuali dello studio; smarrire lo smartphone con l’intera rubrica dei propri clienti; subire l’attacco di un ramsonware: attenzione perché dal 25 maggio 2018 si deve notificare l’accaduto al Garante privacy entro 72 ore e comunque «senza ingiustificato ritardo» e informare tutti gli interessati.
A meno che i dati siano di fatto inutilizzabili, perché per esempio, efficacemente criptati oppure, se persi, sono ripristinabili con una copia di backup.
Se non ci si adegua, oltre al rischio di richiesta di risarcimento danni da parte della vittima, c’è anche la sanzione amministrativa.
Lo prevede il regolamento Ue sulla privacy (n. 2016/679), per il quale il conto alla rovescia è cominciato sia per imprese, sia per p.a., sia per studi professionali.
Nella vigenza del codice della privacy soltanto in alcuni casi è previsto l’obbligo di «autodenuncia» all’autorità garante della protezione dei dati: fornitori di servizi di comunicazione elettronica accessibili al pubblico; dati biometrici; trattamenti della pubblica amministrazione; trattamenti del fascicolo e dossier sanitario elettronico.
Il regolamento europeo 2016/679 estende l’obbligo a tutti i titolari di trattamento. Si tratta di un adempimento double face: notificazione al Garante della privacy e comunicazione agli interessati. Gli interessati sono le persone fisiche cui si riferiscono le informazioni. Possono essere i clienti, i dipendenti, i fornitori, gli utenti, gli iscritti a una newsletter e così via.
Il primo gruppo di adempimenti è rappresentato dalle misure di sicurezza: prevenire violazioni della sicurezza per prevenire violazione dei dati. Ma una volta che i buoi sono scappati, bisogna avviare un sistema di allerta e studiare i rimedi. I sistemi di allerta si sviluppano su due piani: l’allarme alla autorità pubblica; l’allarme agli interessati che possono diventare danneggiati. Il primo allarme si chiama «notificazione al Garante»; il secondo allarme si chiama «comunicazione agli interessati».