EntiOnLine
Categorie
indietro
11/08/2020 RISK MANAGEMENT 360: Quando e' necessaria la comunicazione all'interessato?

Quando e' necessaria la comunicazione all’interessato?

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Altro importante elemento da portare ai fini della giustificazione della mancata denuncia di violazione può essere dedotto dall’articolo 34 paragrafo 3 che respinge la necessità di comunicazione all’interessato se si verifica almeno una delle condizioni riportate:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Laddove comunichi una violazione alle persone fisiche interessate, il titolare del trattamento dovrebbe essere trasparente in merito alla violazione e comunicare in maniera efficace e tempestiva. Di conseguenza, conservando le prove di tale comunicazione il titolare del trattamento faciliterebbe la dimostrazione della propria assunzione di responsabilità e del proprio rispetto delle norme.

Per agevolare il rispetto degli articoli 33 e 34, sarebbe vantaggioso tanto per il titolare del trattamento quanto per il responsabile del trattamento disporre di una procedura di notifica documentata, che stabilisca il processo da seguire una volta individuata una violazione, ivi compreso come contenere, gestire e porre rimedio all’incidente, valutare il rischio e notificare la violazione.

A questo proposito, per dimostrare il rispetto del Regolamento potrebbe anche essere utile dimostrare che i dipendenti siano stati precedentemente informati dell’esistenza di tali procedure, dei meccanismi da adottare e che siano in grado di reagire alle violazioni.

Ecco quindi la necessità di organizzare e predeterminare una procedura coerente e chiara da comunicare ai dipendenti attraverso un coerente e puntuale processo di formazione.

In supporto a tale obiettivo, al fine di chiarire tutti i passaggi necessari alla decisione sulla necessità di darne comunicazione, si riportano una serie di passaggi per chiarire l’obbligatorietà della notifica all’autorità di controllo, alle persone fisiche oppure a entrambi.

Fonte: RISK MANAGEMENT 360

https://www.riskmanagement360.it/compliance/come-elaborare-il-registro-delle-violazioni-in-assenza-di-comunicazione-di-data-breach-al-garante/

Banca dati