A partire dal 25 maggio, in caso di violazione dei dati personali, il Titolare del trattamento dovrà notificare la violazione all’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che tale violazione presenti un rischio per i diritti e le libertà delle persone fisiche.
DOMANDA
Ma è la prima volta che il Titolare del trattamento deve fare i conti con l’obbligo di notifica di un data breach?
RISPOSTA
Come ben noto agli “addetti ai lavori”, il data breach non è una novità assoluta del GDPR (General Data Protection Regulation 2016/679) anzi il Garante per la Protezione dei Dati Personali, nel corso di questi anni, ha adottato alcuni provvedimenti che hanno stabilito l’obbligo di comunicazione all’Autorità nei casi in cui, ad esempio a seguito di attacchi informatici o eventi avversi (come incendi o altre calamità), si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali trattati. Basti pensare all’obbligo, entro 48 ore dalla conoscenza del fatto, in capo alle amministrazioni pubbliche di comunicare al Garante tutte le violazioni dei dati personali o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati (provv. n. 392 del 2 luglio 2015).
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
