Gestione delle violazioni dei dati personali (Data Breach) e GDPR – Come fare
Powered by iSpeech
#PrivacyLab #GDPR #DataBreach
Che cos'è un data breach o violazione dei dati personali? Come si identifica e come va gestito? Qual è il ruolo del Titolare e del DPO e quando bisogna contattare il Garante?
Ce lo spiega Andrea Chiozzi, CEO di PrivacyLab - il portale dedicato alla privacy per le imprese - in questo intervento all'8° Privacy Day Forum organizzato da Federprivacy a Pisa il 19/06/2019.
*L'incidente è veramente una violazione?*
Ti hanno segnalato un incidente, ma è davvero una violazione o non è nulla?
Le violazioni sono accidentali o volontarie e sono di 6 tipi:
1. Accesso non autorizzato
2. Copia non autorizzata
3. Divulgazione non prevista
4. Modifica non autorizzata
5. Perdita d’accesso
6. Cancellazione dei dati
Hai verificato ed è una violazione, cosa devi fare?
*Gestione delle violazioni - articoli 33 e 34 del GDPR*
Gli articoli 33 e 34 del GDPR sono i due articoli del Regolamento europeo che cercano di indicarci come ci si deve comportare se si verifica una violazione dei dati personali:
- l’articolo 33 riguarda la gestione interna dell’azienda e la gestione dei rapporti con il Garante
- l’articolo 34 riguarda la gestione con gli interessati, cioè con le persone di cui abbiamo i dati personali
Il Data Breach va sempre registrato e se è il caso va notificato al Garante (articolo 33), ma quali violazioni vanno comunicate al Garante? Vanno comunicate solo le violazioni di tipo 2: quelle che presentano un rischio per i diritti e le libertà delle persone.
Quando la violazione dei dati personali presenta dei rischi per i diritti e le libertà delle persone, va comunicata anche agli interessati (articolo 34).
Vuoi saperne di più su come si gestisce un Data Breach? Leggi l'articolo ►
*Ti è stata segnalata una violazione?*
Allora chiediti: è davvero una violazione?
Risposta: no. Allora non bisogna fare nulla.
Risposta: sì. Devi approfondire.
Chiediti: è una violazione che lede i diritti e le libertà delle persone fisiche?
Risposta: no.
Allora documenta l’incidente nel registro dei trattamenti come violazione di tipo 1.
Risposta: sì.
Allora la violazione va notificata alle autorità e registrata come violazione di tipo 2.
*Riepilogo*
La procedura di gestione del Data Breach tocca 4 punti:
1 - Formazione
Bisogna formare addetti e responsabili esterni
2 - Registrazione
Bisogna documentare tutte le violazioni
3 - Valutazione
Bisogna valutare il tipo di violazione (tipo 1 o tipo 2) e quindi capire se va anche notificata alle autorità e agli interessati
4 - Registro
Bisogna documentare tutto quello che è successo, cosa è stato fatto e cosa si farà
=======================================================
PrivacyLab GDPR è il software in cloud che permette ad aziende, enti e consulenti di gestire in modo facile e completo tutti gli adempimenti previsti dal Regolamento Europeo sulla privacy ed evitare le sanzioni del garante.
* Visita il sito ►
* Leggi il blog ►
* Scopri i corsi di formazione ►
* La consulenza PrivacyLab ►
source
Gloss