Mostra tutti

GDPR data breach notification – Notifica della violazione dei dati GDPR

GDPR data breach notification – Notifica della violazione dei dati GDPR

Gli obblighi di notifica delle violazioni dei dati previsti dal GDPR (General Data Protection Regulation) dell’UE sono complicati, quindi non sorprende che molte organizzazioni non siano sicure di quello che dovrebbero fare .

Violazione di dati personali (data breach), in base alle previsioni del Regolamento (UE) 2016/679

l regolamento generale sulla protezione dei dati (GDPR) introduce l’obbligo di notificare una violazione dei dati personali  all’autorità nazionale di controllo competente (o, in caso di violazione transfrontaliera, all’autorità principale) e, in alcuni casi, di comunicare la violazione alle persone i cui dati personali sono stati interessati dalla violazione.
Per alcune organizzazioni, quali i fornitori di servizi di comunicazione elettronica accessibili al pubblico (come specificato nella direttiva 2009/136/CE e nel regolamento (UE) n. 611/2013) , esistono attualmente obblighi di notifica dei casi di violazione. Vi sono anche alcuni Stati membri dell’UE che hanno già un proprio obbligo nazionale di notifica delle violazioni. Ciò può includere l’obbligo di notificare le violazioni che coinvolgono categorie di responsabili del trattamento oltre ai fornitori di servizi di comunicazione elettronica accessibili al pubblico (ad esempio in Germania e in Italia), o l’obbligo di segnalare tutte le violazioni riguardanti i dati personali (come nei Paesi Bassi).

Altri Stati membri possono disporre di codici di condotta pertinenti (ad esempio, in Irlanda ). Mentre alcune autorità di protezione dei dati dell’UE incoraggiano attualmente i responsabili del trattamento a segnalare le violazioni, la direttiva 95/46/CE4 sulla protezione dei dati, che sostituisce la GDPR, non contiene un obbligo specifico di notifica delle violazioni e pertanto tale obbligo sarà nuovo per molte organizzazioni. Il GDPR rende ora obbligatoria la notifica per tutti i responsabili del trattamento, a meno che non sia improbabile che una violazione comporti un rischio per i diritti e le libertà degli individui. Anche gli incaricati del trattamento hanno un ruolo importante da svolgere e devono notificare qualsiasi violazione al responsabile del trattamento.

Le violazioni dei dati personali rappresentano un rischio per i diritti e le libertà delle persone fisiche

Article 29 Working

Il gruppo di lavoro “articolo 29” (WP29) ritiene che il nuovo obbligo di notifica presenti una serie di vantaggi. Al momento della notifica all’autorità di controllo, i responsabili del trattamento possono ottenere un parere sull’eventuale necessità di informare le persone interessate. In effetti, l’autorità di controllo può ordinare al responsabile del trattamento di informare tali persone della violazione. La comunicazione di una violazione ai singoli individui consente al responsabile del trattamento di fornire informazioni sui rischi presentati a seguito della violazione e sulle misure che tali persone possono adottare per proteggersi dalle sue potenziali conseguenze. I piani di risposta alle violazioni dovrebbero essere incentrati sulla protezione delle persone e dei loro dati personali. Di conseguenza, la notifica delle violazioni dovrebbe essere vista come uno strumento per migliorare il rispetto delle norme in materia di protezione dei dati personali. Al tempo stesso, va osservato che la mancata comunicazione di una violazione ad una persona fisica o ad un’autorità di controllo può comportare, ai sensi dell’articolo 83, l’applicazione di un’eventuale sanzione al responsabile del trattamento.

Che cos’è un data breach e quindi una violazione dei dati personali?

Una violazione dei dati è qualsiasi evento in cui la riservatezza, l’integrità e la disponibilità delle informazioni sono compromesse. I dati non hanno solo bisogno di essere rubati per essere violati, ma possono anche essere stati persi, alterati, corrotti o divulgati accidentalmente.

Le violazioni dei dati possono verificarsi a qualsiasi tipo di informazione, ma il GDPR si occupa solo di dati personali. Il regolamento la definisce come “qualsiasi informazione concernente una persona fisica identificata o identificabile”. In altre parole, qualsiasi informazione che riguardi chiaramente una determinata persona.

Può trattarsi del nome di una persona, del numero di identificazione, dell’identificatore online, ecc. o di una combinazione di dettagli che possono essere messi insieme per stabilire l’identità di una persona.

Di quali violazioni è necessario informare il Garante?

Le violazioni dei dati personali che “rappresentano un rischio per i diritti e le libertà delle persone fisiche” devono essere segnalate alla vostra autorità di controllo.

Si riferisce alla possibilità che le persone colpite debbano affrontare danni economici o sociali, quali discriminazioni, danni alla reputazione o perdite finanziarie.

Elementi da segnalare dopo aver subito uno violazione dei dati

  • Analisi situazionale: Fornire il maggior contesto possibile, includendo il danno iniziale (cosa è successo), come ha influenzato la vostra organizzazione (cosa è andato storto) e cosa l’ha causato (come è successo).
  • Valutazione dei dati interessati: Accertare le categorie di dati personali e il numero di record interessati.
  • Descrizione dell’impatto: Descrivere le conseguenze della violazione per le parti interessate. Questo dipenderà dalle informazioni che sono state compromesse.
  • Relazione sulla formazione e la sensibilizzazione del personale: Se la violazione è stata causata da un errore umano, i dipendenti coinvolti hanno ricevuto una formazione sulla protezione dei dati negli ultimi due anni? Fornire dettagli sul programma di formazione del personale per la sensibilizzazione del personale.
  • Misure e azioni preventive: Quali misure avete adottato prima della violazione per evitare il verificarsi di incidenti di questo tipo? Quali misure avete adottato o prevedete di adottare per mitigare il danno?
  • Sorveglianza: Fornite i dati di contatto del vostro RPD (responsabile della protezione dei dati) o della persona responsabile della protezione dei dati.
  • Data e ora notifica presentata: La data e l’ora in cui la notifica è registrato come presentata. Questo dovrebbe essere completata poco prima della consegna effettiva e magari essere annullata dalla data effettiva e l’ora di ricezione da parte dell’autorità di vigilanza.
  • Data e ora del rilevamento della violazione di dati: La data e l’ora in cui è stata ragionevolmente riconosciuto dall’organizzazione che una violazione che interessano dati personali si è verificato, o è altamente probabile che si sono verificati.
  • Tempo trascorso tra il rilevamento e notifica: Il tempo trascorso, in ore, tra le violazioni dei dati essendo stato riconosciuto o rilevato dal organizzazione e la notifica di violazione dei dati personali di essere sottoposto all’autorità di vigilanza.
  • Descrizione della natura della violazione di dati personali e probabili conseguenze della violazione di dati. Una descrizione di ciò che i probabili effetti su soggetti di dati possono essere della violazione e dei rischi che potrebbero incontrare, tra cui i potenziali tempi.
  • Misure già adottate per affrontare la violazione. Descrivere le azioni che sono state prese prima della notifica per diminuire l’impatto della violazione, fermare eventuali ulteriori violazioni e in altro modo il rischio per le persone interessate.
  • Misure proposte da adottare per un’ulteriore valutazione del Breach. Descrivere le ulteriori azioni che sono state identificate, ma non ancora adottate, che possono aiutare a ridurre l’impatto della violazione, fermare eventuali ulteriori violazioni e in altro modo il rischio per le persone interessate.
  • Motivi per il ritardo nella notifica, se applicabile. Il GDPR richiede che le violazioni di dati personali che possono provocare un rischio per i diritti e le libertà delle persone fisiche vengono notificate all’autorità di vigilanza, senza indebito ritardo e, ove possibile, per non meno di 72 ore dopo aver venirne a conoscenza.

Quanto tempo hai per denunciare una violazione?

Le organizzazioni devono segnalare una violazione entro 72 ore dalla scoperta. Il GDPR riconosce che sarà difficile produrre le informazioni necessarie entro questo lasso di tempo, quindi non ci si aspetta che tu fornisca dettagli completi.

Come reagirete a una violazione dei dati?

Un recente sondaggio del Ponemon Institute ha rilevato che una organizzazione su quattro sarà vittima di una violazione dei dati nei prossimi due anni. Questo significa che c’è una buona probabilità che si possa subire un destino simile a quello di Uber.

Ma sarete in grado di gestire il processo in modo efficace o dovrete affrontare sanzioni severe che potrebbero avere effetti a lungo termine?

Per informazioni o consulenze sul GDPR (General Data Protection Regulation) o sei hai dei dubbi sulla Violazione di dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679 non esitare a contattarci o compila il seguente modulo e sara rincontatto.

    Il tuo nome (richiesto)

    La tua email (richiesto)

    Telefono

    Oggetto

    Il tuo messaggio

    Autorizzazione al Trattamento dei Dati come da Privacy Policy.

    Avatar

    Rocco Balzamà

        Ethical & Growth Hacker | CEH | OSCP | Marketing Manager | Information Security Senior Manager | Data Governance & Privacy Solutions | Cyber Security | Penetration Tester [ Divulgatore, formatore e consulente in ambito Branding - Comunicazione - IT ] Tutto ebbe inizio nell'estate del 1983, quando le mie mani toccarono per la prima volta una tastiera ancora oggi, con lo stesso entusiasmo che avevo da bambino quando ero un piccolo artigiano, aiuto le aziende a proteggersi ed evolversi nel mondo digitale.
    View all posts

    Ti potrebbero interessare

    26 Gennaio 2020

    Email temporanea senza registrazione: naviga in sicurezza e sfrutta al meglio il Web

    Continua
    18 Gennaio 2020

    Microsoft Browser Edge – Il nuovo aggiornamento basato sul motore Chromium

    Continua
    14 Gennaio 2020

    Vulnerabilità critiche nei sistemi operativi Microsoft Windows – AA20-014A

    Continua
    10 Ottobre 2019

    Cybersecurity Awareness Month 2019 – Più responsabilità individuale per la sicurezza informatica

    Continua
    9 Ottobre 2019

    IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

    Continua
    29 Settembre 2019

    Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

    Continua
    22 Settembre 2019

    Come proteggere la tua azienda dai malware gratuitamente

    Continua
    17 Settembre 2019

    Simjacker – Ecco come spiare i telefoni cellulari

    Continua
    14 Settembre 2019

    DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

    Continua
    11 Settembre 2019

    Opzioni e valutazione delle impostazioni di sicurezza del browser Web

    Continua
    11 Settembre 2019

    Cosa sono ed a cosa servono i cookie ed il contenuto attivo

    Continua
    30 Agosto 2019

    Come proteggersi dai rischi legati all’uso dei social network

    Continua
    24 Agosto 2019

    Cyber Health Check – Controllo dello stato cibernetico privato ed aziendale

    Continua
    21 Agosto 2019

    Off-Facebook Activity – Il nuovo strumento per la privacy di Facebook

    Continua
    5 Agosto 2019

    Come proteggere la Smart TV dalle minacce della rete

    Continua
    25 Luglio 2019

    Privacy: Stop allo spam per i titolari delle fidelity card

    Continua
    16 Luglio 2019

    Come difendersi dalle truffe online ed acquistare in sicurezza

    Continua
    2 Maggio 2019

    Come mandare messaggi WhastApp multipli a tutti i contatti da pc

    Continua
    9 Aprile 2019

    SMAU | Italy RestartsUp in London – Meet the Made in Italy Innovation

    Continua
    2 Aprile 2019

    Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

    Continua
    15 Marzo 2019

    Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

    Continua
    15 Marzo 2019

    Educazione civica digitale e alla sicurezza online in Italia

    Continua
    12 Marzo 2019

    Rischi e consigli per i pagamenti “Contactless”

    Continua
    11 Marzo 2019

    Servizio di Scambio File in ambito eBay

    Continua
    27 Febbraio 2019

    Come usare Metasploit Cheat Sheet

    Continua
    27 Febbraio 2019

    Quanto la realtà virtuale influenza la pubblicità e le attività di advertising

    Continua
    8 Febbraio 2019

    Consulenti del lavoro – Quando sono responsabili del trattamento dei dati

    Continua
    1 Febbraio 2019

    Safer Internet Day 2019 (SID) – Insieme per un internet migliore

    Continua
    7 Gennaio 2019

    Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

    Continua
    4 Gennaio 2019

    Hackers Leak Personal Data in Germania – Online i dati di politici e personaggi noti

    Continua
    31 Dicembre 2018

    Cybersecurity: ecco i passi avanti dell’Italia

    Continua
    17 Dicembre 2018

    Malware Shamoon – Attacco di cyber sabotaggio contro Saipem

    Continua
    27 Novembre 2018

    Sei stato hackerato? Ecco le informazioni utili a denunciare un accesso non autorizzato

    Continua
    14 Novembre 2018

    #saveyourinternet – La campagna contro l’articolo 13

    Continua
    13 Novembre 2018

    Adescamento online o Grooming – Cosa è e come comportarsi

    Continua
    3 Novembre 2018

    Quali sono le differenze tra Boot UEFI e Legacy BIOS

    Continua