2. NOZIONE
Il gdpr chiama data breach la
violazione incidentale dei dati
personali
Conservati dal titolare del
trattamento
Può significare:
abuso dei dati
perdita dei dati
furto dei dati
distruzione dei dati
diffusione indebita dei dati
Con rischio di violazione privacy
per l'interessato
3. LE PREVISIONI DEL GDPR
rispetto all'INTERESSATO
Il titolare ha l'obbligo di notifica
all'interessato senza ingiustificato
ritardo se
la violazione rappresenta grave
pericolo per diritti e libertà
Nella comunicazione deve utilizzare
un linguaggio semplice
CHI VALUTA LA GRAVITÀ DEL
RISCHIO?
4. LE PREVISIONI DEL GDPR
rispetto all'INTERESSATO
la comunicazione richiede sforzi
sproporzionati (allora la devo fare
pubblicamente)
oppure il titolare ha già preso
misure di sicurezza adeguate
oppure erano già state messe in
atto misure tecniche che non
permettono il riconoscimento dei
dati
Il titolare non ha obbligo di
comunicazione all'interessato se:
CHI VALUTA GLI SFORZI E LE
MISURE DI SICUREZZA?
5. LE PREVISIONI DEL GDPR di
notifica ad AUTORITÀ
Il titolare del trattamento ha sempre
l'obbligo di registrare l'accaduto
Il responsabile del trattamento ha
l'obbligo di notifica verso il titolare
Il titolare ha l'obbligo di notificare al
Garante la violazione dei dati solo se:
la violazione presenta un rischio
per i diritti e le libertà
dell'interessato
CHI VALUTA IL RISCHIO?
6. SE SI DECIDE DI NOTIFICARE AL
GARANTE:
Il titolare dei dati deve inserire come
minimo queste informazioni:
natura della violazione
l’ammontare approssimativo del
numero di persone interessate
dati di contatto del DPO
possibili conseguenze della
violazione
misure adottate
E deve dimostrare di essere stato
"accountable" nella gestione dei
dati
a.
b.
c.
d.
e.
7. DOMANDE
COME FA L'AZIENDA A SAPERE
CHE C'È STATA UNA VIOLAZIONE?
Ci vuole la formazione
interna di chi tratta i dati
CHI VALUTA SE LA VIOLAZIONE È
AD ALTO RISCHIO?
quantitativi
qualitativi
Il titolare stesso che non ha
parametri di valutazione esterni
8. QUINDI....
sapere se c'è stata una violazione
registrare la violazione
prendere le misure necessarie per
mettere in sicurezza i dati
valutare se la violazione è grave o
no considerando che
la notifica all'interessato può
comportare un danno
d'immagine per l'azienda...
la notifica al garante può
comportare una sanzione...
Il titolare deve agire in tempi strettissimi
per
😉