DOMANDA
Quando il Titolare può definirsi consapevole di un data breach?
RISPOSTA
A partire dal 25 maggio, in caso di violazione dei dati personali, il Titolare del trattamento dovrà notificare la violazione all’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che tale violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Il WP29 specifica che, tra la segnalazione di una presunta violazione e l’effettiva verifica della medesima, il Titolare deve svolgere le dovute attività di indagine. Anche in questo caso si forniscono alcuni esempi pratici che individuano il momento in cui il Titolare può definirsi consapevole: in caso di smarrimento di una chiave USB con dati personali in chiaro, il Titolare potrebbe definirsi consapevole di data breach nel momento in cui realizza di aver perso la chiave USB oppure in caso di richiesta di riscatto da parte di un criminale (a seguito di attacco informatico) nei confronti del Titolare, quest’ultimo potrebbe definirsi consapevole nel momento in cui, a seguito della verifica del sistema informatico, ha evidenza della violazione.
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
