Cosa fare in caso di data breach? È bene ricordare che a seguito di un evento del genere si possono configurare varie situazioni che è necessario considerare al fine di poter gestire la situazione pianificando tutti gli adempimenti nel pieno rispetto del GDPR.
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Premesso che la tutela fondamentale deve essere rivolta agli interessati da cui abbiamo ottenuto i dati e che loro sono i primi a cui è necessario rivolgersi (a meno che si verifichi una delle tre condizioni riportate dall’articolo 34 al paragrafo 3 e che analizzeremo nel prosieguo) per fare in modo che gli stessi prendano gli opportuni provvedimenti, il secondo passaggio obbligatorio in base alla legge in vigore è quello di darne comunicazione all’Autorità di controllo ovvero al Garante per la Protezione dei Dati Personali.
Tale comunicazione è prescritta dalle indicazioni presenti nell’articolo 33 comma 1: “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.”
Al fine di chiarire ulteriormente la modalità di gestione del sinistro vengono in aiuto i considerando 85 e 87 che cercano di sensibilizzare il titolare del trattamento sulle metodologie di prevenzione del trattamento dei dati al fine di scongiurare situazioni di pericolo che possano compromettere i famosi parametri RID (riservatezza, integrità, disponibilità) che ogni trattamento detiene fin dal momento della costituzione.
Se nel comma 3 del già citato articolo 33 vengono indicate le caratteristiche e le informazioni che deve contenere una notifica al Garante, il comma 5 dello stesso articolo afferma che: “Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo”.
Ecco quindi la necessità per il titolare di documentare qualsiasi violazione di dati che possa avvenire all’interno della propria organizzazione. Lasciando ad altri approfondimenti le ragioni e le motivazioni che impongono obbligatoriamente di effettuare la notifica valutiamo in questa trattazione le motivazioni e le modalità che impongono ad ogni titolare di tenere all’interno del proprio sistema di gestione privacy un apposito registro delle violazioni.
Tale obbligo da parte del titolare del trattamento è direttamente interconnesso con il principio di responsabilizzazione presente nell’articolo 5 paragrafo 2: “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)” e nel considerando 74 del GDPR. Non solo, l’obbligo che impone al titolare che nel rispetto del Regolamento “[…] mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” è individuabile all’interno dell’articolo 24.
Fonte: Risk Management 360