sicurezza

Notifica dei data breach: le principali novità delle ultime linee guida

Le ultime linee guida sulla notifica di un data breach, adottate il 28 marzo, introducono alcune modifiche. Le principali novità riguardano il cosiddetto meccanismo “one-stop-shop” e l’ampliamento degli esempi di violazione

Pubblicato il 20 Apr 2023

Serena Nanni

Security Consulting Analyst presso Accenture

cybersecurity data breach

Il 28 marzo 2023 sono state adottate le linee guida 09/2022 sulla notifica di un data breach, dopo una consultazione pubblica aperta lo scorso ottobre.

In corso di consultazione pubblica sono state proposte alcune modifiche, tra cui quelle confluite nella versione finale riguardano il paragrafo 70 e successivi delle linee guida.

Data Breach, come si fa la notifica al Garante privacy: guida pratica per aziende

Le principali novità

Ai sensi dell’art.4, (12) del GDPR, per data breach si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

WHITEPAPER

Essere DPO nel 2025: quali sono le competenze e i requisiti necessari

Legal
Data protection

Il meccanismo “one-stop-shop”

Le principali novità riguardano il cosiddetto meccanismo “one-stop-shop”. Nello specifico, il caso in cui il titolare del trattamento dei dati non abbia una sede all’interno dell’UE. In tale circostanza, la notifica di data breach deve essere trasmessa all’autorità garante di ogni Stato membro in cui risiedono gli interessati nel loro Stato membro. Questa (o queste) notifiche sono di competenza del titolare del trattamento. In tal caso, si esclude esplicitamente l’applicazione del meccanismo “one-stop-shop”. Nella precedente versione, si riteneva sufficiente la notifica del data breach all’Autorità competente del paese presso cui risiedeva il rappresentante. Adesso invece la notifica dovrà avvenire verso le autorità garanti dei vari paesi, in base agli interessati coinvolti.

Ad un titolare del trattamento viene infatti richiesto, entro le 72 ore dalla scoperta di un data breach, di avere chiara la provenienza geografica degli interessati. Alcuni esperti esprimono perplessità anche in relazione alle modalità con cui tali informazioni dovranno essere acquisite e poi utilizzate per adempire a tali obblighi.

Le modifiche all’Allegato VII del diagramma operativo da seguire in caso di data breach

Inoltre, è stato modificato l’Allegato VII delle Linee Guida. Ecco di seguito il diagramma operativo aggiornato da seguire in caso di data breach:

Immagine che contiene diagramma Descrizione generata automaticamente

Titolare del trattamento “aware” del data breach

L’art 33 del GDPR specifica che in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.

Nelle Linee guida, l’EDPB fornisce ai titolari del trattamento alcuni esempi, elencando dei “momenti in cui il titolare viene a conoscenza” di una violazione. Ad esempio:

  • il titolare riceve una e-mail da un cliente che avvisa di aver ricevuto un contatto da un terzo che impersonava il titolare del trattamento. Si presume che quindi l’anonimo abbia avuto accesso ai dati del titolare stesso del trattamento. Viene condotta una rapida indagine in grado di confermare l’allerta del cliente. Questo è il “momento” e inizia il decorso delle 72 ore.

Dal momento in cui il titolare viene a conoscenza di un data breach deve, anzitutto, comprenderne le caratteristiche. L’EDPB specifica che il titolare deve verificare:

  • se la violazione comporti un rischio per i diritti e le libertà degli interessati coinvolti;
  • il tipo di violazione;
  • la natura, la tipologia e la quantità di dati compromessi;
  • le possibili conseguenze per gli interessati;
  • il numero di interessati coinvolti.

Ampliati gli esempi di data breach

I seguenti esempi, non esaustivi, forniscono diversi scenari di violazione dei dati personali per i titolari del trattamento. Questi esempi possono aiutare il titolare a distinguere tra rischio ed elevato rischio per i diritti e le libertà delle persone.

Esempio Notifica all’Autorità competenteNotifica ai soggetti interessatiNote/Raccomandazioni
Il Titolare del trattamento ha memorizzato un

backup di un archivio

di dati personali

crittografato su una chiavetta USB. La chiave viene

rubata.

NoNo
Un titolare gestisce un servizio online. A seguito di un attacco informatico a tale servizio, i dati personali vengono rubati.

Il titolare del trattamento ha clienti in un solo Stato membro.

Sì, segnalare all’Autorità competente se

ci sono probabili

conseguenze per

interessati.

Sì, segnalare agli interessati

a seconda della natura

dei dati personali

interessati e se la

gravità delle probabili

conseguenze per gli interessati sono elevate.

Una breve interruzione di corrente della durata di

alcuni minuti presso un call center di un Titolare, il che significa che i clienti non sono in grado di chiamare il Titolare e accedere ai propri dati.

No.Non si tratta di una violazione notificabile, ma di un incidente registrabile ai sensi dell’articolo 33(5).Il registro dei data breach deve essere conservato dal Titolare del trattamento.

L’EDPB afferma poi che nulla vieta di affidare al DPO l’incarico di tenere il registro dei data breach, anche se questo compito non rientra tra quelli “ordinari” dello stesso.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Video & Podcast
Analisi
Social
Iniziative
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati