Mostra tutti

GDPR data breach notification – Notifica della violazione dei dati GDPR

GDPR data breach notification – Notifica della violazione dei dati GDPR

Gli obblighi di notifica delle violazioni dei dati previsti dal GDPR (General Data Protection Regulation) dell’UE sono complicati, quindi non sorprende che molte organizzazioni non siano sicure di quello che dovrebbero fare .

Violazione di dati personali (data breach), in base alle previsioni del Regolamento (UE) 2016/679

l regolamento generale sulla protezione dei dati (GDPR) introduce l’obbligo di notificare una violazione dei dati personali  all’autorità nazionale di controllo competente (o, in caso di violazione transfrontaliera, all’autorità principale) e, in alcuni casi, di comunicare la violazione alle persone i cui dati personali sono stati interessati dalla violazione.
Per alcune organizzazioni, quali i fornitori di servizi di comunicazione elettronica accessibili al pubblico (come specificato nella direttiva 2009/136/CE e nel regolamento (UE) n. 611/2013) , esistono attualmente obblighi di notifica dei casi di violazione. Vi sono anche alcuni Stati membri dell’UE che hanno già un proprio obbligo nazionale di notifica delle violazioni. Ciò può includere l’obbligo di notificare le violazioni che coinvolgono categorie di responsabili del trattamento oltre ai fornitori di servizi di comunicazione elettronica accessibili al pubblico (ad esempio in Germania e in Italia), o l’obbligo di segnalare tutte le violazioni riguardanti i dati personali (come nei Paesi Bassi).

Altri Stati membri possono disporre di codici di condotta pertinenti (ad esempio, in Irlanda ). Mentre alcune autorità di protezione dei dati dell’UE incoraggiano attualmente i responsabili del trattamento a segnalare le violazioni, la direttiva 95/46/CE4 sulla protezione dei dati, che sostituisce la GDPR, non contiene un obbligo specifico di notifica delle violazioni e pertanto tale obbligo sarà nuovo per molte organizzazioni. Il GDPR rende ora obbligatoria la notifica per tutti i responsabili del trattamento, a meno che non sia improbabile che una violazione comporti un rischio per i diritti e le libertà degli individui. Anche gli incaricati del trattamento hanno un ruolo importante da svolgere e devono notificare qualsiasi violazione al responsabile del trattamento.

Le violazioni dei dati personali rappresentano un rischio per i diritti e le libertà delle persone fisiche

Article 29 Working

Il gruppo di lavoro “articolo 29” (WP29) ritiene che il nuovo obbligo di notifica presenti una serie di vantaggi. Al momento della notifica all’autorità di controllo, i responsabili del trattamento possono ottenere un parere sull’eventuale necessità di informare le persone interessate. In effetti, l’autorità di controllo può ordinare al responsabile del trattamento di informare tali persone della violazione. La comunicazione di una violazione ai singoli individui consente al responsabile del trattamento di fornire informazioni sui rischi presentati a seguito della violazione e sulle misure che tali persone possono adottare per proteggersi dalle sue potenziali conseguenze. I piani di risposta alle violazioni dovrebbero essere incentrati sulla protezione delle persone e dei loro dati personali. Di conseguenza, la notifica delle violazioni dovrebbe essere vista come uno strumento per migliorare il rispetto delle norme in materia di protezione dei dati personali. Al tempo stesso, va osservato che la mancata comunicazione di una violazione ad una persona fisica o ad un’autorità di controllo può comportare, ai sensi dell’articolo 83, l’applicazione di un’eventuale sanzione al responsabile del trattamento.

Che cos’è un data breach e quindi una violazione dei dati personali?

Una violazione dei dati è qualsiasi evento in cui la riservatezza, l’integrità e la disponibilità delle informazioni sono compromesse. I dati non hanno solo bisogno di essere rubati per essere violati, ma possono anche essere stati persi, alterati, corrotti o divulgati accidentalmente.

Le violazioni dei dati possono verificarsi a qualsiasi tipo di informazione, ma il GDPR si occupa solo di dati personali. Il regolamento la definisce come “qualsiasi informazione concernente una persona fisica identificata o identificabile”. In altre parole, qualsiasi informazione che riguardi chiaramente una determinata persona.

Può trattarsi del nome di una persona, del numero di identificazione, dell’identificatore online, ecc. o di una combinazione di dettagli che possono essere messi insieme per stabilire l’identità di una persona.

Di quali violazioni è necessario informare il Garante?

Le violazioni dei dati personali che “rappresentano un rischio per i diritti e le libertà delle persone fisiche” devono essere segnalate alla vostra autorità di controllo.

Si riferisce alla possibilità che le persone colpite debbano affrontare danni economici o sociali, quali discriminazioni, danni alla reputazione o perdite finanziarie.

Elementi da segnalare dopo aver subito uno violazione dei dati

  • Analisi situazionale: Fornire il maggior contesto possibile, includendo il danno iniziale (cosa è successo), come ha influenzato la vostra organizzazione (cosa è andato storto) e cosa l’ha causato (come è successo).
  • Valutazione dei dati interessati: Accertare le categorie di dati personali e il numero di record interessati.
  • Descrizione dell’impatto: Descrivere le conseguenze della violazione per le parti interessate. Questo dipenderà dalle informazioni che sono state compromesse.
  • Relazione sulla formazione e la sensibilizzazione del personale: Se la violazione è stata causata da un errore umano, i dipendenti coinvolti hanno ricevuto una formazione sulla protezione dei dati negli ultimi due anni? Fornire dettagli sul programma di formazione del personale per la sensibilizzazione del personale.
  • Misure e azioni preventive: Quali misure avete adottato prima della violazione per evitare il verificarsi di incidenti di questo tipo? Quali misure avete adottato o prevedete di adottare per mitigare il danno?
  • Sorveglianza: Fornite i dati di contatto del vostro RPD (responsabile della protezione dei dati) o della persona responsabile della protezione dei dati.
  • Data e ora notifica presentata: La data e l’ora in cui la notifica è registrato come presentata. Questo dovrebbe essere completata poco prima della consegna effettiva e magari essere annullata dalla data effettiva e l’ora di ricezione da parte dell’autorità di vigilanza.
  • Data e ora del rilevamento della violazione di dati: La data e l’ora in cui è stata ragionevolmente riconosciuto dall’organizzazione che una violazione che interessano dati personali si è verificato, o è altamente probabile che si sono verificati.
  • Tempo trascorso tra il rilevamento e notifica: Il tempo trascorso, in ore, tra le violazioni dei dati essendo stato riconosciuto o rilevato dal organizzazione e la notifica di violazione dei dati personali di essere sottoposto all’autorità di vigilanza.
  • Descrizione della natura della violazione di dati personali e probabili conseguenze della violazione di dati. Una descrizione di ciò che i probabili effetti su soggetti di dati possono essere della violazione e dei rischi che potrebbero incontrare, tra cui i potenziali tempi.
  • Misure già adottate per affrontare la violazione. Descrivere le azioni che sono state prese prima della notifica per diminuire l’impatto della violazione, fermare eventuali ulteriori violazioni e in altro modo il rischio per le persone interessate.
  • Misure proposte da adottare per un’ulteriore valutazione del Breach. Descrivere le ulteriori azioni che sono state identificate, ma non ancora adottate, che possono aiutare a ridurre l’impatto della violazione, fermare eventuali ulteriori violazioni e in altro modo il rischio per le persone interessate.
  • Motivi per il ritardo nella notifica, se applicabile. Il GDPR richiede che le violazioni di dati personali che possono provocare un rischio per i diritti e le libertà delle persone fisiche vengono notificate all’autorità di vigilanza, senza indebito ritardo e, ove possibile, per non meno di 72 ore dopo aver venirne a conoscenza.

Quanto tempo hai per denunciare una violazione?

Le organizzazioni devono segnalare una violazione entro 72 ore dalla scoperta. Il GDPR riconosce che sarà difficile produrre le informazioni necessarie entro questo lasso di tempo, quindi non ci si aspetta che tu fornisca dettagli completi.

Come reagirete a una violazione dei dati?

Un recente sondaggio del Ponemon Institute ha rilevato che una organizzazione su quattro sarà vittima di una violazione dei dati nei prossimi due anni. Questo significa che c’è una buona probabilità che si possa subire un destino simile a quello di Uber.

Ma sarete in grado di gestire il processo in modo efficace o dovrete affrontare sanzioni severe che potrebbero avere effetti a lungo termine?

Per informazioni o consulenze sul GDPR (General Data Protection Regulation) o sei hai dei dubbi sulla Violazione di dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679 non esitare a contattarci o compila il seguente modulo e sara rincontatto.

Il tuo nome (richiesto)

La tua email (richiesto)

Telefono

Oggetto

Il tuo messaggio

Autorizzazione al Trattamento dei Dati come da Privacy Policy.

Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at Rocco Balzama Digital Agency
Ethical & Growth Hacker | CEH | OSCP | Information Security Senior Manager | Data Governance & Privacy Solutions | Marketing Manager | Cyber Coaching | Penetration Tester... Tutto ebbe inizio nell'estate del 1983, quando le mie mani toccarono per la prima volta una tastiera... ancora oggi, con lo stesso entusiasmo che avevo da bambino aiuto le aziende a proteggersi ed evolversi nel mondo digitale.
Rocco Balzamà

@roccobalzama

Ti potrebbero interessare

9 Aprile 2019

SMAU | Italy RestartsUp in London – Meet the Made in Italy Innovation

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
15 Marzo 2019

Educazione civica digitale e alla sicurezza online in Italia

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
11 Marzo 2019

Servizio di Scambio File in ambito eBay

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
27 Febbraio 2019

Quanto la realtà virtuale influenza la pubblicità e le attività di advertising

Continua
8 Febbraio 2019

Consulenti del lavoro – Quando sono responsabili del trattamento dei dati

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua
4 Gennaio 2019

Hackers Leak Personal Data in Germania – Online i dati di politici e personaggi noti

Continua
31 Dicembre 2018

Cybersecurity: ecco i passi avanti dell’Italia

Continua
17 Dicembre 2018

Malware Shamoon – Attacco di cyber sabotaggio contro Saipem

Continua
27 Novembre 2018

Sei stato hackerato? Ecco le informazioni utili a denunciare un accesso non autorizzato

Continua
14 Novembre 2018

#saveyourinternet – La campagna contro l’articolo 13

Continua
13 Novembre 2018

Adescamento online o Grooming – Cosa è e come comportarsi

Continua
3 Novembre 2018

Quali sono le differenze tra Boot UEFI e Legacy BIOS

Continua
2 Novembre 2018

Come e perchè devi mettere in sicurezza il tuo sito web

Continua
29 Ottobre 2018

Come migliorare la sicurezza informatica del mio computer

Continua
26 Ottobre 2018

Ransonware GandCrab – Rilasciato lo strumento di decrittografia dei file

Continua
16 Ottobre 2018

Come compremettere il tuo account di WhatsApp rispondendo ad una videochiamata

Continua
15 Ottobre 2018

Anonymous Million Mask March 2018

Continua
13 Ottobre 2018

Cyber Security Guidelines – Linee guida sulla sicurezza informatica per gli studi legali

Continua
11 Ottobre 2018

WordPress security – Come creare un registro delle attività per i siti usando WP Security Audit Log

Continua
10 Ottobre 2018

Inviare e condividere file criptati e protetti gratuitamente con Firefox send

Continua
9 Ottobre 2018

Come migliorare la sicurezza della propria rete domestica

Continua
8 Ottobre 2018

Facebook Data Breach – Nel dark web in vendita le credenziali

Continua
8 Ottobre 2018

Perche usare il Cloud Storage e Cloud Computing

Continua
5 Ottobre 2018

LoJax, il primo rootkit UEFI che infetta il computer

Continua
0