Con il termine data breach o violazione dei dati si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati” – Articolo 4 del Regolamento generale sulla protezione dei dati (GDPR).
Sempre secondo il Regolamento, la notifica di data breach deve essere inoltrata all’autorità di controllo competente (Garante Privacy) senza ingiustificato ritardo ed entro 72 ore dalla scoperta, a meno che non costituisca un rischio per i diritti e le libertà degli interessati coinvolti.
Quali informazioni deve contenere?
Il titolare del trattamento deve fornire quante più informazioni possibili sulla violazione (vedi Articolo 33), riassunte in questi punti:
1. Analisi della situazione
Il Garante Privacy deve sapere cosa è successo, come è potuto succedere e cosa è andato storto. È anche importante indicare quando si è verificata la violazione e quando è stata scoperta.
2. Valutazione dei dati coinvolti
Quali dati personali sono stati coinvolti e quante registrazioni dei dati personali sono state violate?
L’Articolo 30 del Regolamento stabilisce che i titolari ed i responsabili del trattamento devono tenere un registro delle attività di trattamento (per maggiori informazioni, leggi questo blog) e metterlo a disposizione dell’autorità di controllo su richiesta.
3. Conseguenze della violazione sugli interessati
Indicare, nel modo più accurato possibile, la portata dell’impatto del data breach sugli interessati e le conseguenze che subiranno.
4. Misure adottate per risolvere il problema
Descrivere le azioni intraprese o che si intende mettere in atto in seguito alla scoperta del data breach, per porre rimedio o per attenuare gli effetti negativi.
5. Punto di contatto tra Garante e azienda
È importante comunicare al Garante Privacy il nome ed i dati di contatto del responsabile della protezione dei dati (DPO) o di chiunque sia responsabile per avere maggiori informazioni sull’accaduto.
Modulistica per comunicare la notifica
Il Garante Privacy ha messo a disposizione degli utenti un modello di documento precompilato con il quale comunicare la notifica di una violazione dei dati personali.
Risorse gratuite sul GDPR
Scarica e leggi le risorse informative realizzate dagli esperti di protezione dei dati di IT Governance e resta sempre aggiornato sulle ultime novità:
 |
|
 |
|
Regolamento generale sulla protezione dei dati – Guida alla conformità |
Come mappare i flussi dei dati nell’ambito del GDPR | Kit di documenti GDPR in prova gratuita |
| Scarica | Scarica | Scarica |
