No al controllo massivo e alla conservazione senza limite delle email dei dipendenti.
Prima di prendere in esame gli adempimenti previsti dal Regolamento per i casi di Data Breach cerchiamo di far luce su cosa significhi “violazione di dati personali”.
Il nuovo Regolamento definisce così la VIOLAZIONE DI DATI PERSONALI:
“La violazione di sicurezza che comporta accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.”
Rientrano quindi in questa definizione la perdita, la distruzione o la diffusione indebita di dati personali a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Nello specifico, si riportano esempi di:
DISTRUZIONE: incendio, danneggiamento fisico deliberato
PERDITA: furto
MODIFICA: errore umano, azione di malware
DIVULGAZIONE NON AUTORIZZATA: invio via email di documenti a destinatari errati, diffusione online di documenti a seguito di accesso abusivo
ACCESSO AI DATI PERSONALI TRASMESSI, CONSERVATI O COMUNQUE TRATTATI: errata configurazione, attacchi informatici
Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati e pertanto gli obblighi a carico dei Titolari del Trattamento sono stati normati ed assoggetti ad ulteriori adempimenti, vediamo quali:
di rischio elevato; la comunicazione è esclusa solo nei seguenti casi:
Dati i nuovi obblighi previsti dal Regolamento e i tempi stretti delle comunicazioni obbligatorie da effettuare, assume ancora maggiore importanza la Valutazione di Impatto Privacy all’interno della quale dovrà essere preventivamente prevista anche la pianificazione di tutte le attività necessarie, l’individuazione dei ruoli e delle responsabilità all’interno dell’organizzazione e l’identificazione delle adeguate procedure di comunicazione interna, investigazione, valutazione di impatto della violazione e modalità di comunicazione alle Autorità e agli interessati in tutti i casi di Data Breach.
Il Garante sottolinea infine che gli articoli 33 e 34 del Regolamento, relativi al Data Breach, impongono incombenze a fronte di eventi (violazione dei dati per effetto di violazioni della sicurezza) che accadono a partire dal 25 maggio 2018 e non a quelli anteriormente verificati.
Contattaci per approfondire meglio gli adempimenti cui sei soggetto. Ricorda che il primo sopralluogo è gratuito.
Non perderti per strada, fai il prossimo passo!! Buona Lettura.