Durante le festività il Garante della Privacy ha regalato un nuovo servizio ai titolari del trattamento dei dati (https://servizi.gpdp.it/databreach/s/) per agevolare gli adempimenti previsti in caso di data breach.

Il servizio mette a disposizione degli utenti un modello di notifica al Garante e l’accesso ad una procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di Notifica di una violazione dei dati personali all’autorità di controllo e di Comunicazione di una violazione dei dati personali all’interessato.

Si tratta di uno strumento molto utile, soprattutto perché a dicembre sono stati numerosi e, purtroppo, rilevanti gli attacchi subiti da molte aziende: in Italia i due più rilevanti (tra quelli noti) sembrano essere quelli subiti dalla SNAI, agenzia di scommesse, e HO Mobile, operatore telefonico controllato da Vodafone, entrambi caratterizzati dal furto di centinaia di migliaia di dati, indirizzi, numeri telefonici e altri dati sensibili.

Le violazioni di sicurezza che devono esser segnalate al Garante e comunicate agli utenti da parte dei titolari del trattamento sono tutti quegli eventi che comportano – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

In questi casi, ai sensi del regolamento GDPR, il titolare del trattamento (che può essere un soggetto pubblico, un’impresa, un’associazione, un partito, un professionista, ecc.), entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

A prescindere dalla notifica al Garante, il titolare del trattamento deve anche documentare tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Visualizzazioni: 312