Data breach notification

Pubblicato da Gio Lan il

-La videosintesi-

-Il commento testuale-

. La data breach notification

 

Nel caso di violazione dei dati personali, il Regolamento prevede a carico del titolare l’obbligo di seguire una specifica procedura.

 

A partire dal 25 maggio 2018, tutti i titolari del trattamento – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno, infatti, notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza.

 

Ciò dovrà avvenire in un termine molto breve: entro 72 ore e comunque “senza ingiustificato ritardo”.

 

Tale notificazione dovrà avvenire ogniqualvolta i titolari ritengano probabile che da tale violazione possano derivare rischi per i diritti e le libertà degli interessati.

 

Pertanto, la notifica all’autorità dell’avvenuta violazione non è obbligatoria, in ogni caso di data breach, ma anche in tal caso sarà subordinata ad una preventiva valutazione del rischio per gli interessati, che dovrà essere comunque condotta in tempi molto rapidi.

 

Laddove, poi, la probabilità di tale rischio sia considerata elevata, le violazioni dovranno essere comunicate non solo all’autorità di controllo, ma anche agli interessati ed anche in questo caso, senza ingiustificato ritardo.

 

L’obbligo di notificazione non sussisterà, ad esempio, nel caso in cui il titolare del trattamento abbia messo in atto le idonee misure tecniche e organizzative e tali misure di protezione siano state applicate ai dati personali oggetto della violazione, quali ad esempio quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, come la cifratura dei dati.

 

I contenuti minimi obbligatori della notifica all’autorità e della comunicazione agli interessati sono indicati dal Regolamento.

 

Tutti i titolari di trattamento dovranno in ogni caso documentare tutte le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze, le conseguenze ed i provvedimenti adottati.

 

Il Garante ha messo a disposizione un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico. Il modello verrà rielaborato al fine di renderlo utilizzabile da tutti i titolari di trattamento secondo quanto prevede il Regolamento.

Categorie: GDPR

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *