sicurezza

Notifica dei data breach: le principali novità delle ultime linee guida

Le ultime linee guida sulla notifica di un data breach, adottate il 28 marzo, introducono alcune modifiche. Le principali novità riguardano il cosiddetto meccanismo “one-stop-shop” e l’ampliamento degli esempi di violazione

Pubblicato il 20 Apr 2023

Serena Nanni

Security Consulting Analyst presso Accenture

cybersecurity data breach

Il 28 marzo 2023 sono state adottate le linee guida 09/2022 sulla notifica di un data breach, dopo una consultazione pubblica aperta lo scorso ottobre.

In corso di consultazione pubblica sono state proposte alcune modifiche, tra cui quelle confluite nella versione finale riguardano il paragrafo 70 e successivi delle linee guida.

Data Breach, come si fa la notifica al Garante privacy: guida pratica per aziende

Le principali novità

Ai sensi dell’art.4, (12) del GDPR, per data breach si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il meccanismo “one-stop-shop”

Le principali novità riguardano il cosiddetto meccanismo “one-stop-shop”. Nello specifico, il caso in cui il titolare del trattamento dei dati non abbia una sede all’interno dell’UE. In tale circostanza, la notifica di data breach deve essere trasmessa all’autorità garante di ogni Stato membro in cui risiedono gli interessati nel loro Stato membro. Questa (o queste) notifiche sono di competenza del titolare del trattamento. In tal caso, si esclude esplicitamente l’applicazione del meccanismo “one-stop-shop”. Nella precedente versione, si riteneva sufficiente la notifica del data breach all’Autorità competente del paese presso cui risiedeva il rappresentante. Adesso invece la notifica dovrà avvenire verso le autorità garanti dei vari paesi, in base agli interessati coinvolti.

Ad un titolare del trattamento viene infatti richiesto, entro le 72 ore dalla scoperta di un data breach, di avere chiara la provenienza geografica degli interessati. Alcuni esperti esprimono perplessità anche in relazione alle modalità con cui tali informazioni dovranno essere acquisite e poi utilizzate per adempire a tali obblighi.

Le modifiche all’Allegato VII del diagramma operativo da seguire in caso di data breach

Inoltre, è stato modificato l’Allegato VII delle Linee Guida. Ecco di seguito il diagramma operativo aggiornato da seguire in caso di data breach:

Immagine che contiene diagramma Descrizione generata automaticamente

Titolare del trattamento “aware” del data breach

L’art 33 del GDPR specifica che in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.

Nelle Linee guida, l’EDPB fornisce ai titolari del trattamento alcuni esempi, elencando dei “momenti in cui il titolare viene a conoscenza” di una violazione. Ad esempio:

  • il titolare riceve una e-mail da un cliente che avvisa di aver ricevuto un contatto da un terzo che impersonava il titolare del trattamento. Si presume che quindi l’anonimo abbia avuto accesso ai dati del titolare stesso del trattamento. Viene condotta una rapida indagine in grado di confermare l’allerta del cliente. Questo è il “momento” e inizia il decorso delle 72 ore.

Dal momento in cui il titolare viene a conoscenza di un data breach deve, anzitutto, comprenderne le caratteristiche. L’EDPB specifica che il titolare deve verificare:

  • se la violazione comporti un rischio per i diritti e le libertà degli interessati coinvolti;
  • il tipo di violazione;
  • la natura, la tipologia e la quantità di dati compromessi;
  • le possibili conseguenze per gli interessati;
  • il numero di interessati coinvolti.

Ampliati gli esempi di data breach

I seguenti esempi, non esaustivi, forniscono diversi scenari di violazione dei dati personali per i titolari del trattamento. Questi esempi possono aiutare il titolare a distinguere tra rischio ed elevato rischio per i diritti e le libertà delle persone.

Esempio Notifica all’Autorità competenteNotifica ai soggetti interessatiNote/Raccomandazioni
Il Titolare del trattamento ha memorizzato un

backup di un archivio

di dati personali

crittografato su una chiavetta USB. La chiave viene

rubata.

NoNo
Un titolare gestisce un servizio online. A seguito di un attacco informatico a tale servizio, i dati personali vengono rubati.

Il titolare del trattamento ha clienti in un solo Stato membro.

Sì, segnalare all’Autorità competente se

ci sono probabili

conseguenze per

interessati.

Sì, segnalare agli interessati

a seconda della natura

dei dati personali

interessati e se la

gravità delle probabili

conseguenze per gli interessati sono elevate.

Una breve interruzione di corrente della durata di

alcuni minuti presso un call center di un Titolare, il che significa che i clienti non sono in grado di chiamare il Titolare e accedere ai propri dati.

No.Non si tratta di una violazione notificabile, ma di un incidente registrabile ai sensi dell’articolo 33(5).Il registro dei data breach deve essere conservato dal Titolare del trattamento.

L’EDPB afferma poi che nulla vieta di affidare al DPO l’incarico di tenere il registro dei data breach, anche se questo compito non rientra tra quelli “ordinari” dello stesso.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2