Nel mondo di oggi, le violazioni dei dati sono una realtà. Anche se non vogliamo che accadano, la realtà è che queste accadono. E quando una violazione dei dati coinvolge dati personali dei residenti nell’UE, rientra nella giurisdizione del GDPR dell’UE. Ciò significa che potrebbe essere necessario informare l’Autorità per la Protezione dei Dati in merito alla violazione dei dati personali entro 72 ore dalla scoperta della violazione. Inoltre, ci possono essere multe elevatissime e danni alla reputazione dell’organizzazione associati alle violazioni dei dati personali. Cerchiamo di capire come gestire una violazione dei dati personali nel contesto del GDPR dell’UE.
Chi fa cosa, quando vengono violati i dati personali?
- Il personale, solitamente il gruppo che si occupa della gestione degli incidenti di sicurezza, deve informare il Responsabile della Protezione dei Dati (o Data Protection Officer – DPO).
- Il Responsabile della Protezione dei Dati del Controllore1) dei dati deve inviare una notifica all’Autorità per la Protezione dei Dati quando il rischio per i diritti e le libertà degli interessati è elevato.
- Il Responsabile della Protezione dei Dati del Processore2) dei dati può notificare la violazione agli interessati, se il rischio per i diritti e le libertà degli interessati è elevato. Questo deve essere fatto dal gruppo responsabile delle pubbliche relazioni all’interno dell’organizzazione.
- Il Responsabile della Protezione dei Dati del processore deve notificare al controllore, come indicato nel contratto. In questo caso, tutte le violazioni dei dati personali devono essere segnalate al controllore, senza eccezioni.
Come deve essere gestita una violazione dei dati personali?
A mio parere, la violazione dei dati personali deve essere gestita secondo le seguenti fasi:
1) Informare il tuo Responsabile della Protezione dei Dati: non appena una violazione dei dati personali viene rilevata, il primo e principale compito è informare e coinvolgere il Responsabile della Protezione dei Dati della tua azienda.
2) Valutare portata e impatto: identificare l’entità dell’impatto e l’ambito della violazione dei dati personali, ossia:
- Accertarsi che i dati personali siano stati violati.
- Stimare il numero di interessati i cui dati personali sono stati probabilmente violati.
- Determinare i possibili tipi di dati personali che sono stati violati.
- Elencare le misure di sicurezza che erano già in atto per impedire il verificarsi della violazione.
Poiché le violazioni dei dati personali devono essere segnalate entro 72 ore dal controllore, questa fase deve essere prioritaria e concentrarsi sul fornire al Responsabile della Protezione dei Dati informazioni sufficienti per tale notifica all’Autorità per la Protezione dei Dati.
Vedi anche: The obligations of controllers towards Data Protection Authorities according to GDPR.
3) Notificare la violazione alle parti interessate: il Responsabile della Protezione dei Dati dell’organizzazione deve informare l’Autorità per la Protezione dei Dati se la tua organizzazione è il controllore dei dati personali. Se il rischio per i diritti e le libertà degli interessati è elevato, anche gli interessati devono essere informati dal Responsabile della Protezione dei Dati del controllore. Tuttavia, se la tua organizzazione è il processore dei dati personali, il Responsabile della Protezione dei Dati deve informare la persona responsabile indicata nel contratto con il controllore.
La comunicazione deve includere le informazioni di contatto del Responsabile della Protezione dei Dati, i dettagli della violazione, l’impatto probabile, le azioni già in atto e quelle avviate per ridurre al minimo l’impatto della violazione dei dati. Inoltre, è importante menzionare che è stato studiato un ulteriore impatto (se necessario) e sono state intraprese azioni necessarie per mitigare l’impatto.
4) Analisi approfondita, contenere e notificare: Mentre il Responsabile della Protezione dei Dati informa le autorità competenti, è fondamentale che il gruppo responsabile di gestire l’incidente continui un’analisi approfondita in parallelo sulle due tracce seguenti:
- Attuare tutte le misure possibili per ridurre il rischio e contenere ulteriori accessi non autorizzati
- Continuare a perfezionare la stima originale del numero di interessati i cui dati sono stati violati e dei tipi di dati personali che sono stati violati
Man mano che i dettagli vengono scoperti, l’Autorità di Protezione dei Dati o il controllore possono essere aggiornati sulla situazione attuale.
Se le libertà e i diritti degli interessati hanno subito un impatto significativo, il Responsabile della Protezione dei Dati del controllore deve decidere se gli interessati devono essere informati. In tal caso, i responsabili delle pubbliche relazioni o il team di comunicazione dell’azienda devono essere coinvolti in questa comunicazione.
5) Riesaminare e monitorare: Una volta che la violazione dei dati personali è stata contenuta, l’organizzazione deve condurre un riesame delle misure in atto ed esplorare i possibili modi in cui queste misure possano essere rafforzate per evitare che una simile violazione si ripresenti. Tutte queste misure individuate devono essere monitorate per garantire che siano implementate in modo soddisfacente.
Mentre esegui le fasi precedenti, tieni sempre un registro delle tue azioni e tieni un registro delle violazioni dei dati.
Conclusione
Poiché le violazioni dei dati personali possono avere significative conseguenze finanziarie e sulla reputazione dell’azienda, le violazioni dei dati personali devono essere gestite con attenzione. Non aspettare una violazione dei dati personali, ma imposta una procedura per la violazione dei dati personali e crea modelli per le notifiche adesso.
Clicca qui per leggere il testo completo del GDPR per trovare ulteriori informazioni sulle violazioni dei dati personali.
1) Si utilizza qui e di seguito il termine non ufficiale “Controllore” al posto del termine ufficiale “Titolare del trattamento” come riportato nel testo dell’UE in quanto più intuitivo
2) Si utilizza qui e di seguito il termine non ufficiale “Processore” al posto del termine ufficiale “Responsabile del trattamento” come riportato nel testo dell’UE in quanto più intuitivo