Il Regolamento UE n. 611/2013 del 24 giugno 2013 disciplina le misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche.
Lo stesso regolamento entrerà in vigore il 25 agosto 2013 negli ordinamenti giuridici degli Stati membri UE naturalmente senza necessità di recepimento mediante atto normativo nazionale.
Come è noto l’art. 4 della direttiva 2002/58/CE dispone che i fornitori di servizi di comunicazione elettronica accessibili al pubblico sono tenuti a notificare le violazioni di dati personali alle autorità nazionali competenti e, in alcuni casi, anche agli abbonati e alle altre persone interessate. Tenuto conto di tale fondamentale previsione la finalità del presente regolamento è quella di prevedere un sistema di notifica delle violazioni di dati personali all’autorità nazionale competente che comporti, ove sussistano determinate condizioni, fasi distinte a cui si applicano scadenze ben definite. Questo sistema è volto a garantire che l’autorità nazionale competente venga informata con la massima tempestività e precisione, senza tuttavia ostacolare indebitamente gli sforzi compiuti dal fornitore per indagare sulla violazione e prendere le misure necessarie per arginarla e porre rimedio alle sue conseguenze.
In tale senso l’art. 2 del Regolamento definisce la procedura in tema di notifica che deve essere effettuata dal fornitore entro un termine di 24 ore a partire dal rilevamento della violazione, ove possibile.
La stessa disposizione chiarisce che una violazione di dati personali può considerarsi avvenuta quando il fornitore ha acquisito elementi sufficienti, relativi a un incidente di sicurezza che ha compromesso dati personali.
Quando non sussistono elementi sufficienti per accertare l’esistenza di una violazione il fornitore è autorizzato a trasmettere all’autorità nazionale competente una notifica iniziale entro 24 ore a partire dal rilevamento della violazione. Non appena, poi, sarà possibile, e al massimo entro tre giorni dalla notifica iniziale, il fornitore dovrà trasmettere all’autorità nazionale competente una seconda notifica più completa. Qualora lo stesso fornitore non sia in grado di rispettare il termine, dovrà presentare all’autorità nazionale competente una giustificazione motivata per la notifica tardiva delle informazioni residue che dovrà poi avvenire non appena possibile.
continua la lettura su: altalex.com