Juan Carlos Amati

  • Strategie
    • Strategie aziendali
    • Strategie finanziarie
    • Noleggio operativo
    • Consulenza informatica
    • Comunicazione
  • Articoli
  • Eventi
  • Formazione
  • Chi sono
  • Contatti

Dynamics 365 numerazione prodotti e categorie Dynamics 365 Sales Professional

Gestire il contatto visivo  Come gestire il contatto visivo

Come scrivere una newsletter aziendale  Come scrivere una newsletter aziendale

Fare un sito web in 3 mosse Fare un sito web in 3 mosse

Le app di Zoho per il tuo Business Le app di Zoho per il tuo Business

GDPR parole chiave GDPR dopo il Risk Analysys

Cablaggio strutturato quali componenti scegliere Cablaggio strutturato quali componenti scegliere

Bando voucher digitali Impresa Edizione 2020 Bando voucher digitali Impresa Edizione 2020

Google plus chiusa la piattaforma social di Big G Addio a Google plus il social di Big G

Realizzare un sito web o app il backup e restore Realizzare un sito web o app il backup e restore

Consenso marketing per invio newsletter Consenso marketing per continuare ad inviare newsletter

Google Family Link il parental control gratuito Google Family Link il parental control gratuito

Posizione di chiusura nella comunicazione Posizioni di chiusura nella comunicazione

Google aggiorna la privacy Juan Carlos Amati Google e la privacy aggiornata secondo il GDPR

GDPR come opportunità per la tua impresa GDPR come opportunità per la tua impresa

Data breach gestire una violazione

Seguire le linee guida del Regolamento e il Garante

data breach la violazione del regolamento


Dall'entrata in vigore del nuovo Regolamento per il trattamento dei dati personali noto come GDPR 679/2016 avvenuto il 25 Maggio 2018 si è parlato molto di violazione con il termine data breach. Le imprese hanno iniziato subito ad associare il termine di eventuale violazione con la parte del Regolamento che definisce le sanzioni.

Se da un lato questa associazione è corretta, ma dall'altra ha fatto spostare l'attenzione e le potenzialità che il GDPR può avere per un'impresa in termini di organizzazione e di reputazione, finendo per essere considerato un altro adempimento imposto dal legislatore.

Che cos'è il data breach?

L'articolo 33 del GDPR 679/2016 non chiarisce le circostanze in cui identificare una violazione, preferisce non entrare nel merito evitando di fare un elenco di situazioni possibili e probabili che in futuro dovrebbero essere aggiornate portando a una revisione del regolamento.

Il Regolamento, nell'articolo indicato, pone l'attenzione sulle conseguenze che la violazione può avere nei confronti dell'interessato. Soltanto identificando le conseguenze e quindi il rischio per i diritti e le libertà delle persone fisiche il titolare del trattamento riconosce la violazione e le azioni da compiere.

Identificare le conseguenze è un processo a valle di operazioni e passaggi che il titolare del trattamento è tenuto a fare a monte come ad esempio l'analisi del rischio (Risk Analysis) o DPIA se richiesto, sono tutti questi passaggi nel nuovo Regolamento che aiutano a spiegare il termine di Accountability, cioè la responsabilizzazione del titolare del trattamento per adottare un comportamento per limitare i rischi per l'interessato.

Cosa fare in caso di violazione

Il titolare del trattamento è tenuto ad avvisare l'autorità di controllo, in Italia è il Garante della privacy, notificando con le opportune procedure cosa è successo, ed entro le 72 ore da quando è venuto a conoscenza della violazione.


Se il titolare del trattamento si avvale di uno o più responsabili del trattamento, ognuno per il proprio ambito di competenza è tenuto ad avvisare il titolare del trattamento appena viene a conoscenza della violazione. Si identificano responsabili del trattamento coloro i quali sottoscrivono con il titolare del trattamento un contratto come indicato dall'art 28 del GDPR; ad esempio una società esterna a cui si affidano i propri dati per campagne di newsletter, oppure una società che ha l'assistenza delle postazioni informatiche, il commercialista o la società incaricata della gestione buste paga.

Il titolare del trattamento è tenuto ad avvisare l'autorità di controllo comunicando le seguenti informazioni:

  • Descrivere la natura della violazione dei dati personali, la categoria e il numero di interessati, anche in modo approssimativo
  • Fornire i dati identificativi del DPO, responsabile della protezione dei dati nel caso sia nominato o altro punto di contatto presso cui ottenere informazioni. Questo non vuol dire che un responsabile del trattamento possa essere incluso quale contatto dove reperire informazioni senza che quest'ultimo sia d'accordo. Per questo motivo stipulare un contratto aiuta a definire compiti e azioni ben specifiche
  • Descrivere le probabili conseguenze della violazione
  • Descrivere le misure adottate dal titolare del trattamento per porre rimedio alla violazione, mitigandone gli effetti negativi

Il Regolamento viene incontro al titolare del trattamento nel caso non possa fornire queste informazioni contestualmente alla notifica della violazione, purché le stesse siano comunque raccolte e trasmesse in un secondo momento.

Quando comunicare la violazione all'interessato

L'articolo 34 del GDPR 679/2016 descrive il comportamento che deve essere adottato dal titolare del trattamento nei confronti dell'interessato in caso di violazione. Se il titolare del trattamento ritiene che il data breach costituisca un rischio per i diritti e le libertà dell'interessato deve avvisarlo senza ingiustificato ritardo da quando ne viene a conoscenza descrivendo con linguaggio semplice la natura della violazione. Il titolare del trattamento deve necessariamente adempiere oppure può evitare la comunicazione con l'interessato se:

  • Sono state messe delle misure di sicurezza tecniche e organizzative adeguate a rendere i dati incomprensibili a chi possa averli violati
  • La comunicazione richiede uno sforzo sproporzionato per il titolare del trattamento, ad esempio non si conoscono i riferimenti o i dettagli dei dati violati o il numero di dati personali è eccessivo, il titolare del trattamento procede ad una comunicazione pubblica per informare gli interessati della violazione

Conclusione

Quest'ultimo passaggio è importante perché suggerisce al titolare del trattamento nel caso sia obbligato a dare comunicazione all'interessato della violazione ma impossibilitato a farlo privatamente a renderlo noto su pubblica piazza, si possono solo immaginare i danni reputazionali ai quali va incontro, dalla perdita di fiducia dei clienti, se è un soggetto quotato in borsa al crollo delle proprie azioni e oggetto di speculazioni.

Quello a cui bisogna prestare attenzione è che il Regolamento impone di notificare al garante e o all'interessato la violazione entro i termini stabiliti, ma partendo dal presupposto che il titolare del trattamento ne sia a conoscenza.

Senza misure di prevenzione e controllo è impossibile capire se la propria infrastruttura informatica od organizzativa sarà violata o è attualmente oggetto di data breach

Molti titolari del trattamento, cosi come i responsabili del trattamento credono erroneamente che per data breach o violazione si intende solo ed esclusivamente attacco informatico di un hacker che ha preso di mira l'impresa, ma non è solo questo infatti:
  • basta dimenticare un notebook in stazione
  • subire un furto in auto dove c'era il telefono aziendale
  • un furto presso la sede del cliente se spariscono postazioni di lavoro e relativi server.
  • un faldone di documenti cartacei sottratto dalla pila di documenti sulla scrivania con accesso consentito al pubblico


Se hai bisogno di capire come la tua impresa è adeguata rispetto al nuovo Regolamento contattami al 3318671100 oppure scrivimi direttamente da qui

Richiedi maggiori informazioni



Consulenza

  • Conosci Juan Carlos Amati
  • Strategie aziendale
  • Formazione per la tua impresa
  • Consulenza informatica
  • Comunicazione

Ultimi articoli

  • Come usare Insights di Facebook
  • Come cancellare i dati in modo sicuro
  • Bando voucher digitali Impresa Edizione 2020
  • Come scegliere un software gestionale aziendale
  • Quanto costa una consulenza aziendale

Juan Carlos Amati

Sviluppo il tuo Business

  • Juan Carlos Amati
    Via della Fanella, 31
    00148 Roma
  • Richiedi la tua consulenza
  • (+39) 331 8671100
Copyright © 2005-2023 di Juan Carlos Amati - Tutti i diritti riservati - P.Iva 13516641001 - Area riservata - Privacy - Cookie