Data Breach | GDPR, EU. 679/2016

Il Data Breach, ovvero la violazione dei dati personali, è un evento che, al verificarsi,così come descritto nel nuovo Regolamento Europeo per la protezione dei dati personali (GDPR), impone a tutti i Titolari di Trattamento nuovi obblighi di:

• Mantenimento di un “registro delle violazioni”
• Notifica all’autorità di controllo (Garante) entro 72 ore
• Obbligo di notifica agli interessati (in caso specifici)

Che cos’è il Data Breach?

L’evento Data Breach si connota, non solo attraverso attività di hackeraggio o accesso non autorizzato,  ma anche anche a tutti quegli eventi che possono compromettere la disponibilità dei dati. Ad esempio incidenti e calamità, perdite di dati ecc…

Quello del Data Breach non è un argomento del tutto nuovo nel panorama normativo. Con il GDPR gli obblighi si estendono a tutte le aziende. L’evento costituisce un rilevante rischio per gli interessati, di non poter esercitare i propri diritti su dati personali affidati al Titolare.

Gestire questo aspetto del regolamento è certamente una sfida per le aziende per due ragioni principali.

• La prima organizzativa, in quanto costruire un’adeguata consapevolezza sull’utilizzo di strumenti informatici può risultare complesso. Questo in considerazione del fatto che, molto spesso, le violazioni ai sistemi avvengono per comportamenti inconsapevoli di addetti autorizzati o da comportamenti dolosi effettuati “dall’interno”.
• La seconda è l’aspetto tecnico.
  Monitorare e sorvegliare accessi non autorizzati, con tecnologie per la prevenzione della perdita di dati, può richiedere investimenti e competenze specialistiche non facilmente accessibili.

Quali sono gli obblighi imposti alle aziende?

Il regolamento impone a tutti i Titolari di effettuare la notifica all’autorità di controllo entro 72 ore dal momento in cui si viene a conoscenza dell’evento di violazione, nei casi in cui tale violazione possa comportare un rischio per le libertà degli interessati. Impone inoltre, in caso di rischio elevato, la notifica agli interessati stessi, senza ritardo. Nel caso in cui il Titolare decisa di non notificare la violazione dovrà documentare la propria decisione, si tenga però presente che la mancata notifica può rappresentare per l’autorità indizio di scarsa attenzione o mancanza di un adeguato sistema di gestione della privacy.

Al fine di comprovare l’adeguato alla norma, il regolamento impone quindi il mantenimento di un registro degli incidenti di sicurezza quale prova dell’effettiva gestione di questi eventi.

Conclusioni sul Data Breach

Ogni impresa, in maniera adeguata alla propria complessità, dimensione e tipologia di trattamento dei dati personali dovrà attivare un percorso di adeguamento trasversale, quale:

• Valutare nuove tecnologie e provider di servizi affidabili e competenti, anche esternalizzando su piattaforme cloud, per permettere di ridurre i rischi accedendo ad infrastrutture con un elevato grado di sicurezza difficilmente raggiungibile con soluzioni in-house.
• Attivare un percorso di educazione digitale all’interno dell’impresa e con i propri partner adottando misure di sicurezza organizzative (policy e regolamenti) e tecniche.

Desideri maggiori informazioni a riguardo? Scopri tutto quello che serve per adeguare la tua impresa con il nostro Ebook Gratuito!

Tel: +39 0461 1900419

Email: info@leanevolution.com