Il 6 febbraio 2025, EDÖB – PFPDT – IFPDT ha pubblicato una nuova guida delle violazioni dei dati e l’informazione alle persone coinvolte (data breach), in conformità con l’art. 24 della Legge federale sulla protezione dei dati (LPD).
Principali indicazioni
1. Notifica delle violazioni della sicurezza all’IFPDT
• Oggetto della notifica
Descrizione della violazione: natura, durata, entità e conseguenze.
L’IFPDT utilizza queste informazioni per valutare possibili azioni a tutela degli interessati.
• Obbligo di notifica
Va effettuata senza indugio se la violazione comporta un rischio elevato per i diritti o la personalità degli interessati.
La notifica deve includere tutte le informazioni richieste (art. 15 OPDa).
Se l’IFPDT viene a conoscenza della violazione da altre fonti, può ordinare la notifica ex post.
• Diritto di comunicazione
È possibile effettuare notifiche volontarie per violazioni che non presentano un rischio elevato (queste non attraverso il portale), specialmente se vi è un forte interesse pubblico o mediatico.
• Presentazione della notifica
Le notifiche obbligatorie devono essere inviate tramite il portale ufficiale.
• Criteri per il “rischio elevato”
1. Gravità delle conseguenze (sensibilità dei dati, tipologia della violazione, impatto sugli interessati).
2. Probabilità delle conseguenze (il responsabile del trattamento non deve attendere la certezza per notificare).
• Sanzioni
Nessuna sanzione diretta per la mancata notifica, ma il mancato rispetto dei requisiti minimi di sicurezza può comportare conseguenze penali (art. 61 lett. c LPD).
2. Informazione alle persone interessate
• Obbligo di informare
Le persone devono essere avvisate se necessario per la loro protezione (es. modifica password, blocco carte di credito) o su ordine dell’IFPDT.
L’IFPDT può ordinare la comunicazione per ragioni di interesse pubblico.
• Modalità di informazione
Comunicazione chiara e comprensibile.
Di norma, le persone vanno informate individualmente.
• Sanzioni per mancata informazione
L’IFPDT può imporre l’obbligo di informare anche in ritardo, oltre ad altre misure amministrative.
Questa guida chiarisce le responsabilità delle organizzazioni in caso di violazione dei dati e sottolinea l’importanza di un approccio proattivo alla sicurezza e alla trasparenza.
