Cosa si deve fare nel caso di una breccia di sicurezza?

Una breccia di sicurezza significa la lesione della sicurezza dei dati personali e porta di solito sia alla lor perdita, alterazione o accesso non autorizzato. Nel caso di una tale breccia dovrai notificare la relativa autorità di supervisione soprattutto se c’è il rischio di compromettere la libertà e i diritti degli individui. Ad esempio potresti avere a che fare con una breccia di sicurezza dei dati dei tuoi clienti, un caso che sottopone gli individui al rischio del furto di identità. Come e quando avvisare la breccia di sicurezza sarà deciso a seconda del caso. Nel caso del precedente esempio, la notifica dev’essere fatta il più presto possibile. Se invece il furto di dati ha come oggetto l’elenco dei numeri di telefono dei dipendenti, il rischio per gli individui è diminuito.

Se la breccia presenta un rischio per i diritti e le libertà individuali, dovrai avvisare anche gli interessati, non soltanto l’autorità di supervisione. Le persone incaricate dall’operatore devono avvisare gli operatori subito quando hanno preso nota della breccia di sicurezza. Dall’altra parte gli operatori di dati devono avvisare l’autorità di supervisione entro massimo 72 ore dal momento in cui hanno saputo della breccia. Il salvataggio potrebbe venire però dai metodi di sicurezza utilizzati. Se i dati rubati sono criptati e di conseguenza non vi si può accedere da chi li ha rubato, l’obbligo di informare le persone interessate non è più valido.

Nell’avviso di una breccia di sicurezza devono essere incluse certe informazioni. All’inizio devi includere la natura della breccia incluso il numero di persone interessate e il numero di dati personali interessati. Inoltre devono essere inclusi i dati di contatto del responsabile con la protezione dei dati (se la tua organizzazione ne ha nominato uno). In più dev’essere inclusa una descrizione delle possibili conseguenze della breccia, ma anche una descrizione delle misure che l’organizzazione prenderà per il rimedio della situazione. Il ritardo o il mancato avviso della breccia sottoporranno l’organizzazione alle multe standard del GDPR, ovvero fino a 10 milioni di euro o il 2% del fatturato.

Questo articolo è stato utile?

No 1