EntiOnLine
Categorie
indietro
11/08/2020 RISK MANAGEMENT 360: Quando e' richiesto il registro delle relazioni?

Quando è richiesto il registro delle relazioni?

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Conseguentemente ogni titolare è spinto a creare un registro delle violazioni come prova inoppugnabile nei confronti delle autorità di controllo indipendentemente dalla portata della violazione e dalla tipologia che sia o meno soggetta alla notifica.

Va ricordato che così come espresso all’interno del WP250 rev.1 del Gruppo di lavoro Articolo 29 in merito alle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento UE 2016/679” e di cui si consiglia un’attenta lettura, il titolare del trattamento può scegliere di documentare le violazioni nel contesto del suo registro delle attività di trattamento che deve essere mantenuto, all’interno della propria organizzazione nel rispetto dell’articolo 30.

Si evince quindi che non è richiesto un registro apposito a condizione che le informazioni rilevanti per la violazione siano chiaramente identificabili come tali e possano essere estratte su richiesta delle autorità.

In merito alle informazioni che devono essere inserite all’interno del documento contenente gli accadimenti avvenuti possiamo attingere una traccia coerente dall’articolo 33 del GDPR e riportare un breve elenco riepilogativo:

  • dettagli relativi alla violazione come tempi, modalità di esecuzione, data della scoperta;
  • cause che possono aver compromesso la situazione e portato al data breach;
  • fatti inerenti qualsiasi dettaglio che possa descrivere l’accaduto;
  • dati personali coinvolti e compromessi;
  • effetti della violazione;
  • cConseguenze della violazione;
  • provvedimenti adottati per rimediare all’accaduto;
  • ogni altro elemento necessario ad aggiungere dettagli che possano essere utili alla tutela degli interessati e al ripristino di condizioni di sicurezza.

È palese la necessità di esporre il ragionamento alla base delle decisioni prese in risposta a una violazione apportando le ragioni che hanno determinato la scelta di non notificare tale violazione.

All’interno di tale giustificazione sono fondamentali i motivi per cui il titolare ritiene improbabile che la violazione possa presentare un rischio per i diritti e le libertà delle persone fisiche o altre situazioni che possano compromettere i dati personali così come espresso dal considerando 85 del GDPR.

Fonte: RISK MANAGEMENT 360

https://www.riskmanagement360.it/compliance/come-elaborare-il-registro-delle-violazioni-in-assenza-di-comunicazione-di-data-breach-al-garante/

Banca dati