EntiOnLine
Categorie
indietro
30/04/2019 Data breach - Gestione delle notifiche di violazione di dati personali

Gestione delle notifiche di violazione di dati personali

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Nei primi mesi del 2018 il Garante, in vista delle modifiche introdotte dall’art.33 del RGPD alla disciplina relativa alla violazione di dati personali – vale a dire la “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4, punto 12, del RGPD) –, ha provveduto a riorganizzare la gestione delle notifiche delle violazioni affidandone la trattazione al Dipartimento tecnologie digitali e sicurezza informatica che, a partire da marzo 2018, ha curato le relative istruttorie, per i profili di carattere tecnologico, in coordinamento con i dipartimenti competenti per i profili di carattere giuridico. In tali attività istruttorie compito prioritario è stato quello di individuare prontamente, collaborando con i titolari dei trattamenti coinvolti nelle violazioni dei dati, le misure da adottare idonee a mitigarne gli effetti negativi, valutando altresì l’opportunità della comunicazione della violazione agli interessati una volta stimata l’entità del rischio per i diritti e le libertà delle persone fisiche. L’Ufficio ha acquisito gli elementi necessari alla valutazione della gravità delle violazioni oggetto di notifica sia attraverso acquisizione documentale sia attraverso specifiche attività ispettive presso i titolari e i responsabili del trattamento. Nei casi di mancata notificazione della violazione, comunque pervenuta a conoscenza dell’Autorità tramite altri canali (ad es., notizie di stampa o segnalazioni di interessati), l’istruttoria è stata avviata d’ufficio. Dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach – di cui 630 dal 25 maggio al 31 dicembre 2018, che hanno riguardato, come titolari del trattamento, soggetti pubblici (27% dei casi) e soggetti privati (73% dei casi).

Le tipologie di violazione più frequenti hanno riguardato:
- attacchi informatici volti all’acquisizione di dati personali (quali, credenziali di accesso, indirizzi e-mail, numeri di telefono o dati relativi a strumenti di pagamento);
- diffusione di virus di tipo ransomware;
- smarrimento o furto di dispositivi digitali o documenti cartacei;
- comunicazione o diffusione accidentale di dati personali.

Fonte: Autorità Garante - Relazione 2018

Banca dati