Mostra tutti

GDPR data breach notification – Notifica della violazione dei dati GDPR

GDPR data breach notification – Notifica della violazione dei dati GDPR

Gli obblighi di notifica delle violazioni dei dati previsti dal GDPR (General Data Protection Regulation) dell’UE sono complicati, quindi non sorprende che molte organizzazioni non siano sicure di quello che dovrebbero fare .

Violazione di dati personali (data breach), in base alle previsioni del Regolamento (UE) 2016/679

l regolamento generale sulla protezione dei dati (GDPR) introduce l’obbligo di notificare una violazione dei dati personali  all’autorità nazionale di controllo competente (o, in caso di violazione transfrontaliera, all’autorità principale) e, in alcuni casi, di comunicare la violazione alle persone i cui dati personali sono stati interessati dalla violazione.
Per alcune organizzazioni, quali i fornitori di servizi di comunicazione elettronica accessibili al pubblico (come specificato nella direttiva 2009/136/CE e nel regolamento (UE) n. 611/2013) , esistono attualmente obblighi di notifica dei casi di violazione. Vi sono anche alcuni Stati membri dell’UE che hanno già un proprio obbligo nazionale di notifica delle violazioni. Ciò può includere l’obbligo di notificare le violazioni che coinvolgono categorie di responsabili del trattamento oltre ai fornitori di servizi di comunicazione elettronica accessibili al pubblico (ad esempio in Germania e in Italia), o l’obbligo di segnalare tutte le violazioni riguardanti i dati personali (come nei Paesi Bassi).

Altri Stati membri possono disporre di codici di condotta pertinenti (ad esempio, in Irlanda ). Mentre alcune autorità di protezione dei dati dell’UE incoraggiano attualmente i responsabili del trattamento a segnalare le violazioni, la direttiva 95/46/CE4 sulla protezione dei dati, che sostituisce la GDPR, non contiene un obbligo specifico di notifica delle violazioni e pertanto tale obbligo sarà nuovo per molte organizzazioni. Il GDPR rende ora obbligatoria la notifica per tutti i responsabili del trattamento, a meno che non sia improbabile che una violazione comporti un rischio per i diritti e le libertà degli individui. Anche gli incaricati del trattamento hanno un ruolo importante da svolgere e devono notificare qualsiasi violazione al responsabile del trattamento.

Le violazioni dei dati personali rappresentano un rischio per i diritti e le libertà delle persone fisiche

Article 29 Working

Il gruppo di lavoro “articolo 29” (WP29) ritiene che il nuovo obbligo di notifica presenti una serie di vantaggi. Al momento della notifica all’autorità di controllo, i responsabili del trattamento possono ottenere un parere sull’eventuale necessità di informare le persone interessate. In effetti, l’autorità di controllo può ordinare al responsabile del trattamento di informare tali persone della violazione. La comunicazione di una violazione ai singoli individui consente al responsabile del trattamento di fornire informazioni sui rischi presentati a seguito della violazione e sulle misure che tali persone possono adottare per proteggersi dalle sue potenziali conseguenze. I piani di risposta alle violazioni dovrebbero essere incentrati sulla protezione delle persone e dei loro dati personali. Di conseguenza, la notifica delle violazioni dovrebbe essere vista come uno strumento per migliorare il rispetto delle norme in materia di protezione dei dati personali. Al tempo stesso, va osservato che la mancata comunicazione di una violazione ad una persona fisica o ad un’autorità di controllo può comportare, ai sensi dell’articolo 83, l’applicazione di un’eventuale sanzione al responsabile del trattamento.

Che cos’è un data breach e quindi una violazione dei dati personali?

Una violazione dei dati è qualsiasi evento in cui la riservatezza, l’integrità e la disponibilità delle informazioni sono compromesse. I dati non hanno solo bisogno di essere rubati per essere violati, ma possono anche essere stati persi, alterati, corrotti o divulgati accidentalmente.

Le violazioni dei dati possono verificarsi a qualsiasi tipo di informazione, ma il GDPR si occupa solo di dati personali. Il regolamento la definisce come “qualsiasi informazione concernente una persona fisica identificata o identificabile”. In altre parole, qualsiasi informazione che riguardi chiaramente una determinata persona.

Può trattarsi del nome di una persona, del numero di identificazione, dell’identificatore online, ecc. o di una combinazione di dettagli che possono essere messi insieme per stabilire l’identità di una persona.

Di quali violazioni è necessario informare il Garante?

Le violazioni dei dati personali che “rappresentano un rischio per i diritti e le libertà delle persone fisiche” devono essere segnalate alla vostra autorità di controllo.

Si riferisce alla possibilità che le persone colpite debbano affrontare danni economici o sociali, quali discriminazioni, danni alla reputazione o perdite finanziarie.

Elementi da segnalare dopo aver subito uno violazione dei dati

  • Analisi situazionale: Fornire il maggior contesto possibile, includendo il danno iniziale (cosa è successo), come ha influenzato la vostra organizzazione (cosa è andato storto) e cosa l’ha causato (come è successo).
  • Valutazione dei dati interessati: Accertare le categorie di dati personali e il numero di record interessati.
  • Descrizione dell’impatto: Descrivere le conseguenze della violazione per le parti interessate. Questo dipenderà dalle informazioni che sono state compromesse.
  • Relazione sulla formazione e la sensibilizzazione del personale: Se la violazione è stata causata da un errore umano, i dipendenti coinvolti hanno ricevuto una formazione sulla protezione dei dati negli ultimi due anni? Fornire dettagli sul programma di formazione del personale per la sensibilizzazione del personale.
  • Misure e azioni preventive: Quali misure avete adottato prima della violazione per evitare il verificarsi di incidenti di questo tipo? Quali misure avete adottato o prevedete di adottare per mitigare il danno?
  • Sorveglianza: Fornite i dati di contatto del vostro RPD (responsabile della protezione dei dati) o della persona responsabile della protezione dei dati.
  • Data e ora notifica presentata: La data e l’ora in cui la notifica è registrato come presentata. Questo dovrebbe essere completata poco prima della consegna effettiva e magari essere annullata dalla data effettiva e l’ora di ricezione da parte dell’autorità di vigilanza.
  • Data e ora del rilevamento della violazione di dati: La data e l’ora in cui è stata ragionevolmente riconosciuto dall’organizzazione che una violazione che interessano dati personali si è verificato, o è altamente probabile che si sono verificati.
  • Tempo trascorso tra il rilevamento e notifica: Il tempo trascorso, in ore, tra le violazioni dei dati essendo stato riconosciuto o rilevato dal organizzazione e la notifica di violazione dei dati personali di essere sottoposto all’autorità di vigilanza.
  • Descrizione della natura della violazione di dati personali e probabili conseguenze della violazione di dati. Una descrizione di ciò che i probabili effetti su soggetti di dati possono essere della violazione e dei rischi che potrebbero incontrare, tra cui i potenziali tempi.
  • Misure già adottate per affrontare la violazione. Descrivere le azioni che sono state prese prima della notifica per diminuire l’impatto della violazione, fermare eventuali ulteriori violazioni e in altro modo il rischio per le persone interessate.
  • Misure proposte da adottare per un’ulteriore valutazione del Breach. Descrivere le ulteriori azioni che sono state identificate, ma non ancora adottate, che possono aiutare a ridurre l’impatto della violazione, fermare eventuali ulteriori violazioni e in altro modo il rischio per le persone interessate.
  • Motivi per il ritardo nella notifica, se applicabile. Il GDPR richiede che le violazioni di dati personali che possono provocare un rischio per i diritti e le libertà delle persone fisiche vengono notificate all’autorità di vigilanza, senza indebito ritardo e, ove possibile, per non meno di 72 ore dopo aver venirne a conoscenza.

Quanto tempo hai per denunciare una violazione?

Le organizzazioni devono segnalare una violazione entro 72 ore dalla scoperta. Il GDPR riconosce che sarà difficile produrre le informazioni necessarie entro questo lasso di tempo, quindi non ci si aspetta che tu fornisca dettagli completi.

Come reagirete a una violazione dei dati?

Un recente sondaggio del Ponemon Institute ha rilevato che una organizzazione su quattro sarà vittima di una violazione dei dati nei prossimi due anni. Questo significa che c’è una buona probabilità che si possa subire un destino simile a quello di Uber.

Ma sarete in grado di gestire il processo in modo efficace o dovrete affrontare sanzioni severe che potrebbero avere effetti a lungo termine?

Per informazioni o consulenze sul GDPR (General Data Protection Regulation) o sei hai dei dubbi sulla Violazione di dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679 non esitare a contattarci o compila il seguente modulo e sara rincontatto.

Il tuo nome (richiesto)

La tua email (richiesto)

Telefono

Oggetto

Il tuo messaggio

Autorizzazione al Trattamento dei Dati come da Privacy Policy.

Avatar

Rocco Balzamà

 
  Ethical & Growth Hacker | CEH | OSCP | Marketing Manager | Information Security Senior Manager | Data Governance & Privacy Solutions | Cyber Security | Penetration Tester
[ Divulgatore, formatore e consulente in ambito Branding - Comunicazione - IT ]
Tutto ebbe inizio nell'estate del 1983, quando le mie mani toccarono per la prima volta una tastiera ancora oggi, con lo stesso entusiasmo che avevo da bambino quando ero un piccolo artigiano, aiuto le aziende a proteggersi ed evolversi nel mondo digitale.

Ti potrebbero interessare

26 Gennaio 2020

Email temporanea senza registrazione: naviga in sicurezza e sfrutta al meglio il Web

Continua
18 Gennaio 2020

Microsoft Browser Edge – Il nuovo aggiornamento basato sul motore Chromium

Continua
14 Gennaio 2020

Vulnerabilità critiche nei sistemi operativi Microsoft Windows – AA20-014A

Continua
10 Ottobre 2019

Cybersecurity Awareness Month 2019 – Più responsabilità individuale per la sicurezza informatica

Continua
9 Ottobre 2019

IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

Continua
29 Settembre 2019

Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

Continua
22 Settembre 2019

Come proteggere la tua azienda dai malware gratuitamente

Continua
17 Settembre 2019

Simjacker – Ecco come spiare i telefoni cellulari

Continua
14 Settembre 2019

DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

Continua
11 Settembre 2019

Opzioni e valutazione delle impostazioni di sicurezza del browser Web

Continua
11 Settembre 2019

Cosa sono ed a cosa servono i cookie ed il contenuto attivo

Continua
30 Agosto 2019

Come proteggersi dai rischi legati all’uso dei social network

Continua
24 Agosto 2019

Cyber Health Check – Controllo dello stato cibernetico privato ed aziendale

Continua
21 Agosto 2019

Off-Facebook Activity – Il nuovo strumento per la privacy di Facebook

Continua
5 Agosto 2019

Come proteggere la Smart TV dalle minacce della rete

Continua
25 Luglio 2019

Privacy: Stop allo spam per i titolari delle fidelity card

Continua
16 Luglio 2019

Come difendersi dalle truffe online ed acquistare in sicurezza

Continua
2 Maggio 2019

Come mandare messaggi WhastApp multipli a tutti i contatti da pc

Continua
9 Aprile 2019

SMAU | Italy RestartsUp in London – Meet the Made in Italy Innovation

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
15 Marzo 2019

Educazione civica digitale e alla sicurezza online in Italia

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
11 Marzo 2019

Servizio di Scambio File in ambito eBay

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
27 Febbraio 2019

Quanto la realtà virtuale influenza la pubblicità e le attività di advertising

Continua
8 Febbraio 2019

Consulenti del lavoro – Quando sono responsabili del trattamento dei dati

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua
4 Gennaio 2019

Hackers Leak Personal Data in Germania – Online i dati di politici e personaggi noti

Continua
31 Dicembre 2018

Cybersecurity: ecco i passi avanti dell’Italia

Continua
17 Dicembre 2018

Malware Shamoon – Attacco di cyber sabotaggio contro Saipem

Continua
27 Novembre 2018

Sei stato hackerato? Ecco le informazioni utili a denunciare un accesso non autorizzato

Continua
14 Novembre 2018

#saveyourinternet – La campagna contro l’articolo 13

Continua
13 Novembre 2018

Adescamento online o Grooming – Cosa è e come comportarsi

Continua
3 Novembre 2018

Quali sono le differenze tra Boot UEFI e Legacy BIOS

Continua
0