Segnalazione di una violazione dei dati di una PMI ai sensi del GDPR: come, quando e perché

Una violazione dei dati non è solo costosa per la tua organizzazione in termini di tempo impiegato per rettificare una violazione e il danno reputazionale causato, ma può anche essere costosa da una prospettiva normativa quando non riesci a notificare. Come PMI, è importante che la tua organizzazione capisca quando notificare una violazione dei dati ai sensi del Regolamento generale sulla protezione dei dati (GDPR) del Regno Unito, e a chi e come notificarla.

Non sei sicuro di cosa si intenda per violazione dei dati? Leggi il nostro precedente post del blog qui sotto per scoprirlo!

10 esempi di violazioni dei dati delle PMI e come prevenirle

Quando devono essere informati gli interessati?

La comunicazione delle violazioni dei dati personali agli interessati è disciplinata dall'articolo 34 del GDPR, che stabilisce che la vostra organizzazione deve segnalare una violazione dei dati senza indebito ritardo se sussiste "un rischio elevato per i diritti e le libertà delle persone fisiche".

Il considerando 85 del GDPR chiarisce che ciò significa danni fisici, materiali o immateriali alle persone fisiche, se una violazione non viene affrontata tempestivamente, ad esempio:

• perdita del controllo sui propri dati personali o limitazione dei propri diritti
• discriminazione
• furto o frode di identità
• perdita finanziaria
• inversione non autorizzata della pseudonimizzazione
• danno alla reputazione
• perdita della riservatezza dei dati personali protetti dal segreto professionale o
• qualsiasi altro svantaggio economico o sociale significativo per la persona fisica interessata.

La perdita dei dati bancari, la condivisione di informazioni private relative all'indirizzo di qualcuno o informazioni che potrebbero consentire a qualcun altro di rubare l'identità sono tutti esempi di rischi per i diritti e le libertà di una persona.

Tuttavia, l'Information Commissioner's Office (ICO) suggerisce che la soglia per la segnalazione agli interessati è molto più alta di quella per la segnalazione all'ICO , e questo in parte perché si potrebbero creare inutili preoccupazioni se si notificano agli interessati problemi di minore entità, soprattutto quando è improbabile che la violazione comporti un rischio elevato per la loro sicurezza o libertà.

In effetti, troppe notifiche potrebbero indurre gli interessati ad adagiarsi e a ignorare una richiesta importante che chiede loro di agire per tutelare i propri diritti in materia di dati personali.

In generale, il GDPR rileva che la notifica agli interessati non è richiesta quando:

• il titolare del trattamento ha implementato misure tecniche e organizzative adeguate di protezione dei dati personali interessati dalla violazione dei dati, quali la crittografia;
• il titolare del trattamento ha adottato misure successive atte a garantire che l'elevato rischio per i diritti e le libertà degli interessati non sia più suscettibile di concretizzarsi; oppure
• ciò comporterebbe uno sforzo sproporzionato; in tal caso, dovrebbe invece esserci una comunicazione pubblica o una misura simile tramite la quale gli interessati siano informati in modo altrettanto efficace.

Come notificare una violazione dei dati agli interessati

Nel caso in cui sia necessario notificare gli interessati, il GDPR prevede che la comunicazione agli interessati:

• dovrebbe essere scritto in un linguaggio chiaro e semplice in merito all'oggetto della violazione;
• dovrebbe contenere il nome e i dati di contatto del responsabile della protezione dei dati (RPD) o di un altro contatto all'interno dell'organizzazione che possa fornire loro maggiori informazioni e rispondere alle loro domande; e
• dovrebbe descrivere le misure adottate o che saranno adottate dalla vostra organizzazione in qualità di titolare del trattamento dei dati per affrontare la violazione dei dati personali e le misure per attenuare i possibili effetti collaterali negativi, se è probabile che si verifichino.

Quando bisogna notificare l'ICO?

La soglia per segnalare una violazione dei dati personali all'ICO è molto più bassa di quella dei soggetti interessati, ma ciò non significa che ogni violazione dei dati debba essere notificata. Dovresti notificare solo se rappresenta un rischio per le persone e la probabilità e la gravità del rischio sono per i diritti e le libertà delle persone, a seguito della violazione. Dopo questa valutazione, se è probabile che ci sarà un rischio, allora devi notificare l'ICO.

Se stai segnalando una violazione, questa deve essere segnalata all'ICO senza indebito ritardo ed entro le prime 72 ore dalla violazione, a partire da quando la tua organizzazione ne viene a conoscenza. Ricorda che la mancata notifica all'ICO di una violazione dei dati rilevante può comportare una multa fino a 10 milioni di euro o il 2% del tuo fatturato globale annuo, a seconda di quale sia più alto.

Clicca qui per valutare se dovresti segnalare all'ICO.

Come notificare una violazione dei dati all'ICO

Chiama l'ICO al numero 0303 123 1113. In alternativa, se ritieni di aver gestito la violazione in modo appropriato, puoi avvisare l'ICO online cliccando sull'immagine sottostante.

Fare clic qui sopra per andare al sito web dell'ICO e scaricare il documento Word.

Di seguito è riportato un elenco di cose a cui pensare:

• Descrivi la situazione
• Descrivi come si è verificato l'incidente
• Come ha fatto l'organizzazione a scoprire la violazione?
• Quali misure preventive erano già in atto prima della violazione?
• La violazione è stata causata da un incidente informatico?
• A che ora è avvenuta la violazione?
• A che ora è stata scoperta la violazione?
• Quali tipi di dati personali sono stati coinvolti nella violazione?
• Quanti record di dati personali erano coinvolti?
• Quanti interessati saranno interessati?
• Quali gruppi di interessati potrebbero essere interessati?
• È probabile che la violazione comporti un rischio elevato per gli interessati?
• Il membro del personale coinvolto nella violazione ha ricevuto una formazione sulle norme di protezione dei dati negli ultimi due anni?
• C'è stato un ritardo nella segnalazione della violazione e, in caso affermativo, perché?
• Quali azioni avete intrapreso a seguito della violazione?
• Quali azioni avete intrapreso per porre rimedio alla violazione?
• Quali processi o procedure attuerai in futuro per evitare che il problema si ripeta?
• Avete informato gli interessati di questa violazione?
• Chi è il responsabile della protezione dei dati (RPD) della vostra organizzazione?

Come prevenire una violazione dei dati

La dashboard Privasee è un modo rapido e semplice per la tua organizzazione di prevenire una violazione dei dati e, nel peggiore dei casi, di tenere sotto controllo le violazioni dei dati. Con funzionalità che ti aiutano a registrare l'ora e la data di una violazione dei dati personali e la persona responsabile della gestione, può aiutarti a gestire meglio i tuoi rischi generali per la privacy con una maggiore supervisione.

Con gli strumenti giusti, prevenire le violazioni dei dati non deve essere costoso né complicato.

Se hai bisogno di assistenza per la notifica di una violazione dei dati, contatta un membro del team Privasee all'indirizzo contact@privasee.co.uk e ricevi una consulenza gratuita.

Disclaimer

Il presente articolo non costituisce in alcun modo una consulenza legale e intende solo analizzare alcuni dei punti principali esposti da fonti accessibili al pubblico, come l'ICO.

Ulteriori informazioni e fonti

https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach/

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/personal-data-breaches/#whathappensif

Articolo 34 GDPR, Considerando 85 GDPR: https://www.legislation.gov.uk/eur/2016/679/contents

- https://kyc-chain.com/how-to-identify-a-data-breach-and-report-it-quickly/

‍