L'art. 4 del regolamento europeo definisce la violazione dei dati personali (data breach) come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati". Show Quindi, un data breach non è solo un evento doloso come un attacco informatico, ma può essere anche un evento accidentale come un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un notebook di un dipendente). Ovviamente i titolari del trattamento devono predisporre le misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio cui sono esposti i dati trattati. Il nuovo regolamento generale europeo prescrive specifici adempimenti nel caso di una violazione di dati personali. Le
violazioni possono essere classificate in base ai seguenti tre principi della sicurezza delle informazioni (vedi parere Working Party art. 29 n.
3/2014): Valutazione del rischioPer stabilire cosa fare in caso di violazione dei dati personali occorre una
valutazione del rischio, cioè dei possibili effetti dannosi in grado di produrre sui diritti e le libertà delle persone coinvolte. Il rischio viene valutato tenendo in
considerazione la gravità, cioè la rilevanza degli effetti dannosi, e la probabilità, il grado di possibilità che si verifichino gli effetti. Ai fini della identificazione dei valori da attribuire ai due parametri si considerano i seguenti fattori: Per la valutazione vi sono varie metodologie, come quella proposta dall'ENISA (Recommendations for a methodology of the assessment of severity of personal data breaches), oppure quella proposta dal Garante spagnolo (Guide on personal data breach management and notification). Entrambe sono valide. Ovviamente nella comunicazione al Garante va indicata la metodologia seguita. Prendendo in considerazione la metodologia proposta dall'ENISA, i parametri da utilizzare sono: In base a tali parametri si calcola la gravità di una violazione di dati personali attraverso la formula: Gravità = (Contesto x Facilità di identificazione) + Circostanze  Cosa deve fare la banca in caso di data breach?In caso di incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati, la banca è tenuta a notificarli senza indebito ritardo all'autorità competente o al CSIRT (Gruppo di intervento per la sicurezza informatica in caso di incidente).
Che obbligo fa scattare il data breach?Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.
Chi deve segnalare il data breach?Chi deve segnalare un Data Breach? Il Titolare del trattamento deve segnalare il Data Breach. Nella pratica, specie se è stato creato un Team di gestione sarà bene che sia lo stesso ad occuparsene, coinvolgendo il DPO ove presente per le valutazioni del caso.
Quale figura è responsabile della notifica del data breach?Secondo gli articoli 33 e 34, il Titolare del trattamento o il Responsabile ha l'obbligo di notificare una violazione dei dati personali all'autorità di controllo nazionale competente e, in alcuni casi, di comunicare la violazione alle singole persone fisiche i cui dati personali siano stati violati.
|
In caso di data breach la banca o società del gruppo deve
Diritto d'autore © 2024 nguoilontuoi Inc.
