Cosa fare in caso di un Data breach?
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Nel caso in cui ci si dovesse accorgere di essere stati vittima di un data breach la prima cosa da fare è quella di non farsi prendere dal panico e agire in modo scomposto ma, anzi, applicare subito le procedure previste dalla Data Breach Policy.
Relativamente all’aspetto della comunicazione del Data breach, il GDPR prevede espressamente l’obbligo di notifica da parte del Titolare qualora si sia in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. In particolare, l’art. 33 del GDPR impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza, e cioè nel momento in cui ha ragionevole certezza dell’avvenuto data breach.
L’eventuale dolo da parte del Titolare verrà valutato a posteriori qualora emerga dall’indagine la carenza di contromisure appropriate. L’obbligo di notifica tempestiva impegna anche il responsabile nei confronti del Titolare, il quale verrà considerato a conoscenza nel momento in cui sarà avvenuta tale comunicazione.
La notifica deve almeno (art. 33 GDPR):
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
L’Autorità di controllo a cui fare la notifica (via PEC all’indirizzo: protocollo@pec.gpdp.it) del data breach ha carattere nazionale.
Nel caso dell’Italia è il Garante per la protezione dei dati personali (Garante Privacy).
Qualora un’ente operi in più paesi e sia quindi potenzialmente sotto la giurisdizione di più autorità il GDPR ha introdotto il principio dello sportello unico (one stop shop) che è l’autorità di controllo del paese dove si trova la sede principale e che coopererà con le altre in caso di data breach con impatto transfrontaliero. Qualora, invece, l’impatto sia locale, l’autorità di riferimento sarà quella del paese ove avviene il trattamento che è stato oggetto di data breach.
Oltre alla comunicazione della violazione all’autorità di controllo, il Titolare dovrà anche provvedere a dare comunicazione senza ingiustificato ritardo al diretto interessato qualora il data breach sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
FONTE: AgID - Agenzia per l'Italia digitale