Valutare la severità di un data breach è il primo passo da compiere prima di effettuare (entro 72 ore) la notifica della violazione dei dati, un obbligo generale introdotto dal Regolamento UE 679/2016 (“GDPR”).
La notifica all’Autorità Garante va effettuata sempre, tranne il caso in cui è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.
Se invece il rischio non soltanto è probabile ma anche elevato, la notifica deve essere fatta anche ai singoli interessati.
Riassumiamo quindi i principali errori che la gestione di un data breach presenta.
Assenza di una procedura scritta di gestione di un evento che comporta la violazione dei dati
Assenza nella comunicazione agli interessati dell’avvenuto data breach, della natura della violazione (es. se vi è stata una violazione della riservatezza)
Ritardo nella comunicazione agli interessati
Descrizione non realistica della violazione nella comunicazione
Assenza nella comunicazione di consigli tecnici sui rimedi, adottabili direttamente dall’interessato, per mitigare le conseguenze dannose della violazione
Utilizzare come strumenti di comunicazione all’interessato, i dati che si ritengono violati. Ad esempio non utilizzare l’email per inviare tale comunicazione, se la violazione riguarda proprio l’email. Valutare mezzi alternativi.
UNA SOLUZIONE SOFTWARE PER IL DATA BREACH Software valutazione severità Data Breach consente di valutare la gravità di un data breach, utilizzando la metodologia e l’algoritmo dell’ Enisa – l’agenzia europea per la sicurezza delle informazioni, e fornisce le indicazioni relative a: _ fare/non fare notifica al Garante _ fare/non fare comunicazione all’interessato _ effettuare/non effettuare il trattamento dell’eventoIl software funziona su un un algortimo che elabora i dati relativi a tre variabili come definite dalla procedura Enisa negli Anneex 1,2 e 3 : _ Contesto elaborazione dati _ Facilità con cui chi ha accesso ai dati violati può identificare i soggetti interessati _ Circostanze della violazione.L’utente deve scegliere per ogni variabile un valore definito dalla guida Enisa da un menù a tendina. Il software effettua in automatico il calcolo del livello di severità del databreach su 4 livelli: basso, medio, alto, molto alto.Per ogni livello di severità il software fornisce in automatico le indicazioni relative a: _ fare/non fare notifica al Garante _ fare/non fare comunicazione all’interessato _ effettuare/non effettuare il trattamento dell’eventoIn base a queste informazioni il titolare dei trattamenti dati può valutare che cosa fare. L’esito è stampabile e allegabile alla documentazione della gestione del data breach. Guarda la video demo
Consulenza Privacy 