sicurezza

GDPR : come rispondere a una violazione dei dati personali (data/breach)

Nell’ambito del GDPR  (regolamento europeo sulla protezione dei dati personali UE 679/2016), un’azienda deve segnalare una violazione dei dati personali (“data breach”) all’autorità di vigilanza entro 72 ore dalla scoperta del fatto.

blue screen of death in silver black laptop
Photo by Markus Spiske temporausch.com on Pexels.com

Potresti pensare che sia una scadenza incredibilmente breve, ma non temere, non ci si aspetta che tu fornisca un rapporto completo in questa fase. Il processo consiste semplicemente nel garantire che la tua azienda sia consapevole della violazione tempestivamente e che si assuma la responsabilità.

Quali informazioni hai bisogno di fornire dopo una violazione dei dati?

Ci sono sei passi da seguire quando raccogli i dettagli della tua violazione privacy o “data breach” 

1.Analisi della situazione: fornire il maggior contesto possibile. Questo dovrebbe includere il danno iniziale (cosa è successo), come ha influito sulla tua organizzazione (cosa è andato storto) e cosa lo ha causato (come è successo).

2.Valutazione dei dati interessati: provare ad accertare le categorie ed il numero di dati personali coinvolti nel “data breach”.

3.Descrivere l’impatto: descrivere le conseguenze della violazione per le parti interessate. Ciò dipenderà dalle informazioni che sono state compromesse.

4.Segnalazione sulla formazione e sensibilizzazione del personale: il personale dipendente dell’azienda coinvolto nella violazione dei dati personali (data breach) ha ricevuto una formazione sulla protezione dei dati negli ultimi due anni? Si devono fornire dettagli sul programma di formazione del personale.

5.Misure preventive e intervento: quali misure aveva adottato l’azienda prima della violazione dei dati (Data Breach) per prevenire incidenti come questo? Quali passi ha intrapreso, o ha intenzione di intraprendere, per mitigare il danno?

6.Supervisione: le autorità di vigilanza richiedono alle organizzazioni di indicare il nome del loro DPO (data protection officer , in italiano RPD responsabile della protezione dei dati) o della persona responsabile della protezione dei dati nella loro organizzazione.

Source : Niall McCreanor – IT GOVERNANCE

abstract business code coder
Photo by Pixabay on Pexels.com

Rispondi