Data breach: quando notificare agli interessati
L’AEPD ha pubblicato un tool per aiutare i Titolari del trattamento a decidere se devono comunicare un data breach agli interessati.
L’AEPD ha pubblicato un tool per aiutare i Titolari del trattamento a decidere se devono comunicare un data breach agli interessati.
Il Responsabile del trattamento deve attivarsi immediatamente nei confronti del Titolare per informarlo di essere stato colpito da data breach.
Potete scaricare il modello di notifica al Garante di un data breach nella sezione “modelli e utilità” del Blog RonchiLegal
il Garante ha precisato che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.
È noto che il GDPR richiede l’adozione da parte del titolare del trattamento di misure tecniche e di misure organizzative adeguate al rischio per i diritti e le libertà degli interessati. Spesso, però, i clienti identificano questo requisito con le sole misure di sicurezza tecnologiche (finalizzate per lo più alla cyber security) che, tuttavia, rappresentano solo una parte dell’intero complesso di misure che il GDPR chiede al Titolare di adottare per tutelare i dati personali degli interessati. Secondo gli standard ISO “più vicini” alla data protection (penso, ad esempio allo standard ISO 27001) per misure organizzative, generalmente si intendono tutte quelle politiche, procedure, regolamenti idonei ad ottenere un livello di sicurezza e protezione delle informazioni (dei dati) coerente con gli obiettivi e le strategie dell’organizzazione. Rappresentano, ad esempio, misure organizzative quelle che: prevedono la separazione dei compiti; contemplano ed individuano… Leggi tutto »Quanto devono essere dettagliate le misure organizzative richieste dal GDPR?
L’art. 33 del GDPR impone al Titolare del trattamento la notifica al Garante di eventuali violazioni di dati personali (data breach) entro 72 ore da quando ne è venuto a conoscenza. Nel corso del webinar organizzato da The Innovation Group su questo tema, sono state fornite utili indicazioni per ciascuna delle fasi caratteristiche di un evento di data breach che danno luogo alla procedura di notifica al Garante. PRIMA FASE: fase di rilevazione dell’evento. In questa fase, è opportuno raccogliere le evidenze e le segnalazioni del possibile evento di data breach derivanti da: sistemi ICT; clienti/utenti; fornitori/outsourcer (particolarmente importante è determinare contrattualmente gli obblighi di questi soggetti nella rilevazione e gestione di data breach); dipendenti, collaboratori, consulenti; autorità pubbliche (Garante Privacy, Polizia Postale, etc.); mezzi di comunicazione (giornali, blog, siti specializzati, etc.). SECONDA FASE: fase di valutazione. In questa fase… Leggi tutto »Quando si può omettere la notifica al Garante di un evento di data breach?
Il Regolamento UE 2016/679 (GDPR) richiede alle imprese uno sforzo significativo per identificare e mettere in atto le misure, tecniche ed organizzative, più idonee per prevenire le violazioni dei dati trattati e mitigare al massimo il rischio di data breach a carico dei sistemi ICT aziendali. E’ importante comprendere che, in relazione al profilo della sicurezza, il GDPR non prevede più, come avveniva in passato, misure minime di sicurezza ma si basa sul principio di accountability del Titolare del trattamento (e del Responsabile) che deve, pertanto, individuare le misure realmente adeguate in funzione delle specifiche caratteristiche della propria organizzazione. L’impegno di prevenzione richiesto al Titolare del trattamento dal GDPR per fronteggiare possibili casi di data breach è, oggi, ancora più stringente in considerazione della crescita esponenziale dei fenomeni di cyber crime, che mettono a rischio sia il business delle aziende… Leggi tutto »Come prevenire un data breach
Il concetto di reputazione non è certamente nuovo al diritto, ma l’avvento del web e dei social media ha enormemente ampliato le occasioni di una sua lesione, con conseguente danno per le aziende. La reputazione è tradizionalmente definita come la considerazione di cui un individuo gode nell’ambiente sociale in cui vive ed opera; per quanto riguarda le persone giuridiche, già da tempo la Suprema Corte di Cassazione ha sancito la risarcibilità, ex art. 2043 c.c., della lesione della reputazione commerciale (la cosiddetta brand reputation) dell’impresa che subisce un danno di immagine per il fatto di un proprio dipendente o di un dirigente o, ancora, di un concorrente. Nell’era del web, la nozione di danno alla reputazione commerciale si è evoluta o, se vogliamo, ha trovato la sua maturità: “la reputazione è fondamentale, sia essa riferita alla persona (Personal Reputation) o a un’azienda… Leggi tutto »Il danno reputazionale nell’era del GDPR