Conformità GDPR

Il Regolamento UE 2016/679 (GDPR), richiede che venga notificato al “Garante dei dati personali” (Art. 33) entro 72 ore le eventuali “violazioni” di dati personali (DATA BREACH) che “presentino un rischio per i diritti e le libertà delle persone fisiche”. Senza un sistema di rilevamento “avanzato”, per alcune violazioni, adempiere a questo obbligo diventa molto difficile, oneroso e poco efficiente.

Nel caso venga rilevata una violazione delle disposizioni del regolamento, sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro, nel caso di imprese e fino al 2% del fatturato totale annuo mondiale.

E’ considerato come una “violazione” della sicurezza ciò che comporta (accidentalmente o in modo illecito): la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, per esempio:

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali, pertanto, il “Titolare del trattamento” deve notificare la violazione al Garante per la protezione dei dati personali, meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.