search

In caso di data breach il titolare del trattamento

1 annos fa
Commenti: 0
Visualizzazioni: 44

La conoscibilità del data breach, il “giochetto” delle 72 ore e la negoziazione con il Responsabile del Trattamento dei termini di notifica di un data Breach.

Cosa è un data breach

Il data breach è un violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Un data breach può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

Show

Entro quando notificare un data breach

In caso di violazione dei dati personali (c.d. data brecah), ai sensi dell’art 33 del GDPR, “il titolare del trattamento notifica la violazione all’autorità di controllo competente (…) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Il responsabile del trattamento dal canto suo “informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”.

Entro quando il Responsabile deve notificare un data breach

Ma quindi il Responsabile quando deve notificarlo?

L’art 33 del GDPR prevede che il Responsabile del trattamento dal canto suo “informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza del data breach”.

La risposta è quindi immediatamente, o meglio, “senza ingiustificato ritardo”.

Pattuire con il Responsabile un termine di notifica diverso, per esempio entro 48 ore, significherebbe derogare alla immediata conoscibilità di un data breach e quindi mediare sui diritti e le libertà degli interessati coinvolti.

È plausibile che le procedure di rilevazione di un data breach da parte del Responsabile in qualche caso possano richiedere qualche ora prima che la comunicazione sia trasmessa al Titolare (pensiamo soprattutto alle grandi realtà). Non può essere invece ammessa una notifica che preveda sempre e comunque un termine di 24, 36, 48 ore in totale deroga alla norma.

Il rischio è che venga preclusa al Titolare la possibilità di comunicare il data breach all’interessato “senza ingiustificato ritardo” (art 34 del GDPR) e/o finalizzare la notifica entro 72 ore al Garante Privacy.

La notifica dovrà pertanto sempre avvenire nel minor tempo possibile e senza ingiustificato ritardo.

Affidarsi ad un Responsabile che ritarda la comunicazione di un data breach per ragioni più o meno sostenibili esporrebbe del resto il Titolare al rischio di una violazione degli obblighi previsti dall’art 28 del GDPR: ricorrere a “responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

E internamente all’azienda, da quando decorrono le 72 ore per la notifica del data breach?

In realtà in soccorso arrivano le indicazioni fornite dalle Linee guida sulla notifica dei data breach del WP Art29 – WP 250.

Le Linee guida stabiliscono che l’obbligo di notifica in capo al titolare del trattamento decorre da quando ne viene effettivamente a conoscenza. Le Linee Guida parlano di “ragionevole certezza”.

Ragionevole certezza

“Il Gruppo di lavoro ritiene che il titolare del trattamento debba considerarsi “a conoscenza” nel momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha portato alla compromissione dei dati personali”

Il momento esatto della conoscenza ovvero l’orario da quando far partire il conto alla rovescia “dipenderà dalle circostanze” del data breach. “In alcuni casi sarà relativamente evidente fin dall’inizio che c’è stata un data breach, mentre in altri potrebbe occorrere del tempo per stabilire se i dati personali sono stati compromessi”.

Vi è una ragionevole certezza, per esempio, quando si ha conferma che l’incidente di sicurezza ha coinvolto anche i dati personali. Oppure quando vi è la conferma che il dato personale è stato esfiltrato, visualizzato ed in genere “trattato”.

Alcuni esempi:

  • L’azienda rileva che c’è stato un accesso fisico non autorizzato in azienda ma non ha sin da subito la certezza che siano coinvolti dati personali;
  • L’information Technology rileva che il pc di un dipendente è infetto da un ransomware. Anche considerata la mansione del dipendente, non vi è conferma che siano coinvolti dati personali;

In caso di perdita di una chiave USB contenente dati personali non crittografati spesso non è possibile accertare se persone non autorizzate abbiano avuto accesso ai dati. Tuttavia, anche se il titolare del trattamento non è in grado di stabilire se si è verificata una violazione della riservatezza, tale caso deve essere notificato, in quanto sussiste una ragionevole certezza del fatto che si è verificata una violazione della disponibilità; il titolare del trattamento si considera venuto “a conoscenza” della violazione nel momento in cui si è accorto di aver perso la chiave USB.

WP Art 29 – WP250

Un terzo informa il titolare del trattamento di aver ricevuto accidentalmente i dati personali di uno dei suoi clienti e fornisce la prova della divulgazione non autorizzata. Dato che al titolare del trattamento è stata presentata una prova evidente di una violazione della riservatezza, non vi è dubbio che ne sia venuto “a conoscenza”

WP Art29 – WP250

Il timer del data breach

Talvolta si usa far partire il contatore dall’orario di inoltro di un’email che, per esempio, contiene le informazioni essenziali per la valutazione. In altri casi potrebbe essere utile utilizzare un sistema interno al fine di tracciare (es. mediante un log) la data e l’orario dell’inoltro della segnalazione.

I riferimenti utili saranno quelli della comunicazione che contiene gli elementi essenziali ai fini della determinazione della “ragionevole certezza” che è avvenuto un data breach. Non necessariamente corrisponderà con la prima comunicazione interna.

Il periodo di indagine non deve essere calcolato nelle 72 ore

Infatti, se un dipendente o un Responsabile “informa il titolare del trattamento di una potenziale data breach (…) il titolare del trattamento può effettuare una breve indagine per stabilire se la violazione si sia effettivamente verificata. Durante il periodo di indagine il titolare del trattamento non può essere considerato a conoscenza”

Non sarebbe tuttavia ammissibile un periodo di indagine troppo lungo e le analisi dovranno essere avviate immediatamente ed effettuate nel minor tempo possibile. Ciò anche a riprova dell’effettiva consapevolezza dell’importanza della gestione dei data breach e la relativa attenzione nei riguardi degli interessati. Attenzione rivolta anzitutto ai loro diritti e libertà.

“Queste azioni preliminari dovrebbero essere completate subito dopo l’allerta iniziale (ossia quando il titolare o il responsabile del trattamento sospetta che si sia verificato un incidente di sicurezza che potrebbe interessare dati personali). Dovrebbe richiedere più tempo soltanto in casi eccezionali.”

E’ fondamentale l’attenzione che il titolare del trattamento pone nelle procedure interne per la gestione dei data breach. Procedure che devono essere preliminarmente disponibili, conosciute e applicate nonché finalizzate a rilevare le irregolarità nel trattamento, e soprattutto i data breach, immediatamente.

Saranno utili meccanismi di rilevazione automatica degli incidenti di sicurezza informatica (non solo dei data breach). Saranno utili procedure di segnalazione e dettagliati piani di intervento che coinvolgano tutte le figure chiave (es. CISO, Physical Security Manager, Communication Manager). Anche il SOC (Security Operation Center), ove presente, è fondamentale che venga da subito coinvolto. Ciò al fine di garantire la “ragionevole certezza” che siano coinvolti dati personali.

Cosa fa il titolare del trattamento in caso di data breach?

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all'Autorità di effettuare eventuali verifiche sul rispetto della normativa.

In quale caso il titolare del trattamento deve comunicare all interessato la violazione di un dato personale ai sensi dell'art 34 GDPR?

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.

Quale figura è responsabile della notifica del Data Breach?

Secondo gli articoli 33 e 34, il Titolare del trattamento o il Responsabile ha l'obbligo di notificare una violazione dei dati personali all'autorità di controllo nazionale competente e, in alcuni casi, di comunicare la violazione alle singole persone fisiche i cui dati personali siano stati violati.

Come avviene la segnalazione di un data breach?

Come dev'essere la notifica di Data breach comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni. descrivere le probabili conseguenze delle violazioni dei dati personali.

Articoli correlati

Cosa fare quando si è da soli
Cosa fare quando si è da soli

Case in vendita in america los angeles
Case in vendita in america los angeles

Com è il mare a palma di maiorca
Com è il mare a palma di maiorca

Quante ostriche ci sono in una cassetta
Quante ostriche ci sono in una cassetta

Case in vendita da privati a ternate
Case in vendita da privati a ternate

Come si fa la granita alla mandorla
Come si fa la granita alla mandorla

Case in vendita a gagliano del capo da privati
Case in vendita a gagliano del capo da privati

San pietro e paolo roma festa 2022
San pietro e paolo roma festa 2022

Idee fai da te con il cemento
Idee fai da te con il cemento

Retribuzione imponibile ai fini previdenziali di 2.692 euro
Retribuzione imponibile ai fini previdenziali di 2.692 euro

Pubblicità

ULTIME NOTIZIE

Se una persona non ti vuole lasciala andare
1 annos fa . di WoodenComplexity
Cosa fare quando si è da soli
1 annos fa . di FundamentalReader
Case in vendita in america los angeles
1 annos fa . di Good-lookingPneumonia
Com è il mare a palma di maiorca
1 annos fa . di ThreadbareManga
Quante ostriche ci sono in una cassetta
1 annos fa . di GenialLitre
Case in vendita da privati a ternate
1 annos fa . di DefiniteBomber
Come si fa la granita alla mandorla
1 annos fa . di UnspoiledAltercation
Case in vendita a gagliano del capo da privati
1 annos fa . di FashionableAccuracy
San pietro e paolo roma festa 2022
1 annos fa . di StampedDepletion
Idee fai da te con il cemento
1 annos fa . di SourHands

Pubblicità

Popoler

Pubblicità

Di

Legale

Aiuto

Sociale

homeendefrkoptzhitthjphi
Diritto d'autore © 2024 berikutyang Inc.