GDPR data breach notification – Notifica della violazione dei dati GDPR

Gli obblighi di notifica delle violazioni dei dati previsti dal GDPR (General Data Protection Regulation) dell’UE sono complicati, quindi non sorprende che molte organizzazioni non siano sicure di quello che dovrebbero fare .

Violazione di dati personali (data breach), in base alle previsioni del Regolamento (UE) 2016/679

l regolamento generale sulla protezione dei dati (GDPR) introduce l’obbligo di notificare una violazione dei dati personali  all’autorità nazionale di controllo competente (o, in caso di violazione transfrontaliera, all’autorità principale) e, in alcuni casi, di comunicare la violazione alle persone i cui dati personali sono stati interessati dalla violazione.
Per alcune organizzazioni, quali i fornitori di servizi di comunicazione elettronica accessibili al pubblico (come specificato nella direttiva 2009/136/CE e nel regolamento (UE) n. 611/2013) , esistono attualmente obblighi di notifica dei casi di violazione. Vi sono anche alcuni Stati membri dell’UE che hanno già un proprio obbligo nazionale di notifica delle violazioni. Ciò può includere l’obbligo di notificare le violazioni che coinvolgono categorie di responsabili del trattamento oltre ai fornitori di servizi di comunicazione elettronica accessibili al pubblico (ad esempio in Germania e in Italia), o l’obbligo di segnalare tutte le violazioni riguardanti i dati personali (come nei Paesi Bassi).

Altri Stati membri possono disporre di codici di condotta pertinenti (ad esempio, in Irlanda ). Mentre alcune autorità di protezione dei dati dell’UE incoraggiano attualmente i responsabili del trattamento a segnalare le violazioni, la direttiva 95/46/CE4 sulla protezione dei dati, che sostituisce la GDPR, non contiene un obbligo specifico di notifica delle violazioni e pertanto tale obbligo sarà nuovo per molte organizzazioni. Il GDPR rende ora obbligatoria la notifica per tutti i responsabili del trattamento, a meno che non sia improbabile che una violazione comporti un rischio per i diritti e le libertà degli individui. Anche gli incaricati del trattamento hanno un ruolo importante da svolgere e devono notificare qualsiasi violazione al responsabile del trattamento.

Le violazioni dei dati personali rappresentano un rischio per i diritti e le libertà delle persone fisiche

Article 29 Working

Il gruppo di lavoro “articolo 29” (WP29) ritiene che il nuovo obbligo di notifica presenti una serie di vantaggi. Al momento della notifica all’autorità di controllo, i responsabili del trattamento possono ottenere un parere sull’eventuale necessità di informare le persone interessate. In effetti, l’autorità di controllo può ordinare al responsabile del trattamento di informare tali persone della violazione. La comunicazione di una violazione ai singoli individui consente al responsabile del trattamento di fornire informazioni sui rischi presentati a seguito della violazione e sulle misure che tali persone possono adottare per proteggersi dalle sue potenziali conseguenze. I piani di risposta alle violazioni dovrebbero essere incentrati sulla protezione delle persone e dei loro dati personali. Di conseguenza, la notifica delle violazioni dovrebbe essere vista come uno strumento per migliorare il rispetto delle norme in materia di protezione dei dati personali. Al tempo stesso, va osservato che la mancata comunicazione di una violazione ad una persona fisica o ad un’autorità di controllo può comportare, ai sensi dell’articolo 83, l’applicazione di un’eventuale sanzione al responsabile del trattamento.

Che cos’è un data breach e quindi una violazione dei dati personali?

Una violazione dei dati è qualsiasi evento in cui la riservatezza, l’integrità e la disponibilità delle informazioni sono compromesse. I dati non hanno solo bisogno di essere rubati per essere violati, ma possono anche essere stati persi, alterati, corrotti o divulgati accidentalmente.

Le violazioni dei dati possono verificarsi a qualsiasi tipo di informazione, ma il GDPR si occupa solo di dati personali. Il regolamento la definisce come “qualsiasi informazione concernente una persona fisica identificata o identificabile”. In altre parole, qualsiasi informazione che riguardi chiaramente una determinata persona.

Può trattarsi del nome di una persona, del numero di identificazione, dell’identificatore online, ecc. o di una combinazione di dettagli che possono essere messi insieme per stabilire l’identità di una persona.

Di quali violazioni è necessario informare il Garante?

Le violazioni dei dati personali che “rappresentano un rischio per i diritti e le libertà delle persone fisiche” devono essere segnalate alla vostra autorità di controllo.

Si riferisce alla possibilità che le persone colpite debbano affrontare danni economici o sociali, quali discriminazioni, danni alla reputazione o perdite finanziarie.

Elementi da segnalare dopo aver subito uno violazione dei dati

• Analisi situazionale: Fornire il maggior contesto possibile, includendo il danno iniziale (cosa è successo), come ha influenzato la vostra organizzazione (cosa è andato storto) e cosa l’ha causato (come è successo).
• Valutazione dei dati interessati: Accertare le categorie di dati personali e il numero di record interessati.
• Descrizione dell’impatto: Descrivere le conseguenze della violazione per le parti interessate. Questo dipenderà dalle informazioni che sono state compromesse.
• Relazione sulla formazione e la sensibilizzazione del personale: Se la violazione è stata causata da un errore umano, i dipendenti coinvolti hanno ricevuto una formazione sulla protezione dei dati negli ultimi due anni? Fornire dettagli sul programma di formazione del personale per la sensibilizzazione del personale.
• Misure e azioni preventive: Quali misure avete adottato prima della violazione per evitare il verificarsi di incidenti di questo tipo? Quali misure avete adottato o prevedete di adottare per mitigare il danno?
• Sorveglianza: Fornite i dati di contatto del vostro RPD (responsabile della protezione dei dati) o della persona responsabile della protezione dei dati.
• Data e ora notifica presentata: La data e l’ora in cui la notifica è registrato come presentata. Questo dovrebbe essere completata poco prima della consegna effettiva e magari essere annullata dalla data effettiva e l’ora di ricezione da parte dell’autorità di vigilanza.
• Data e ora del rilevamento della violazione di dati: La data e l’ora in cui è stata ragionevolmente riconosciuto dall’organizzazione che una violazione che interessano dati personali si è verificato, o è altamente probabile che si sono verificati.
• Tempo trascorso tra il rilevamento e notifica: Il tempo trascorso, in ore, tra le violazioni dei dati essendo stato riconosciuto o rilevato dal organizzazione e la notifica di violazione dei dati personali di essere sottoposto all’autorità di vigilanza.
• Descrizione della natura della violazione di dati personali e probabili conseguenze della violazione di dati. Una descrizione di ciò che i probabili effetti su soggetti di dati possono essere della violazione e dei rischi che potrebbero incontrare, tra cui i potenziali tempi.
• Misure già adottate per affrontare la violazione. Descrivere le azioni che sono state prese prima della notifica per diminuire l’impatto della violazione, fermare eventuali ulteriori violazioni e in altro modo il rischio per le persone interessate.
• Misure proposte da adottare per un’ulteriore valutazione del Breach. Descrivere le ulteriori azioni che sono state identificate, ma non ancora adottate, che possono aiutare a ridurre l’impatto della violazione, fermare eventuali ulteriori violazioni e in altro modo il rischio per le persone interessate.
• Motivi per il ritardo nella notifica, se applicabile. Il GDPR richiede che le violazioni di dati personali che possono provocare un rischio per i diritti e le libertà delle persone fisiche vengono notificate all’autorità di vigilanza, senza indebito ritardo e, ove possibile, per non meno di 72 ore dopo aver venirne a conoscenza.

Quanto tempo hai per denunciare una violazione?

Le organizzazioni devono segnalare una violazione entro 72 ore dalla scoperta. Il GDPR riconosce che sarà difficile produrre le informazioni necessarie entro questo lasso di tempo, quindi non ci si aspetta che tu fornisca dettagli completi.

Come reagirete a una violazione dei dati?

Un recente sondaggio del Ponemon Institute ha rilevato che una organizzazione su quattro sarà vittima di una violazione dei dati nei prossimi due anni. Questo significa che c’è una buona probabilità che si possa subire un destino simile a quello di Uber.

Ma sarete in grado di gestire il processo in modo efficace o dovrete affrontare sanzioni severe che potrebbero avere effetti a lungo termine?

Per informazioni o consulenze sul GDPR (General Data Protection Regulation) o sei hai dei dubbi sulla Violazione di dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679 non esitare a contattarci o compila il seguente modulo e sara rincontatto.

Rocco Balzamà

Ethical & Growth Hacker | CEH | OSCP | Marketing Manager | Information Security Senior Manager | Data Governance & Privacy Solutions | Cyber Security | Penetration Tester
[ Divulgatore, formatore e consulente in ambito Branding - Comunicazione - IT ]
Tutto ebbe inizio nell'estate del 1983, quando le mie mani toccarono per la prima volta una tastiera ancora oggi, con lo stesso entusiasmo che avevo da bambino quando ero un piccolo artigiano, aiuto le aziende a proteggersi ed evolversi nel mondo digitale.