Sentiamo parlare di Data Breach dall’entrata in vigore del Nuovo Regolamento Europeo sulla protezione dei dati personali (GDPR 2016/679), ma cosa dobbiamo fare nel caso succeda nella nostra azienda? Come ci dobbiamo comportare se perdiamo, ci rubano o vanno persi dei dati relativi a persone fisiche? Vediamolo insieme?
1. C’è stato un incidente: è un Data Breach?
Le violazioni di dati personali possono essere di natura diversa, si dividono in 6 categorie con diverse accezioni, a seconda che siano accidentali o volontarie:
- Accesso non autorizzato / spionaggio
- Copia non autorizzata / furto
- Divulgazione non prevista / diffusione
- Modifica non autorizzata / compromissione
- Perdita d’accesso / cifratura
- Cancellazione dei dati / distruzione volontaria
2. Quali sono i passi da seguire in caso di Data Breach?
Appena vengo a conoscenza di aver subito una violazione devo:
- Gestire la segnalazione entro 72 ore
- Valutare se l’incidente è di tipo 1 o di tipo 2
- Registrare la violazione con marca temporale per testimoniare che ho agito entro il tempo richiesto
- Se la violazione è di tipo 1, non grave, la registro solamente
- Se la violazione è di tipo 2, ovvero presenta un rischio per i diritti e le libertà delle persone fisiche, notifico all’autorità di controllo
Il punto 5 dell’art. 33 dice che comunque bisogna documentare qualsiasi violazione, sia di tipo 1 che di tip o 2, tale documentazione consentirà all’autorità di controllo di verificare il rispetto del presente articolo.
I nostri strumenti per il Data Breach
Scopri la soluzione Gorilla di PrivacyLab per la gestione dei Data Breach.
