L’European Data Protection Board (“EDPB”) ha pubblicato, in consultazione, le linee guida 01/2021 sugli esempi relativi alla notifica di violazione dei dati (“data breach”).
L’European Data Protection Board (“EDPB”) ha pubblicato, in consultazione, le linee guida 01/2021 sugli esempi relativi alla notifica di violazione dei dati (“data breach”). I contributi a tali linee guida dovranno pervenire entro il 2 marzo e nel frattempo possiamo analizzare nel dettaglio quanto sviluppato, al riguardo, dall’EDPB.
Si tratta di un documento molto interessante sia per gli esperti privacy ma anche per gli operatori della Cybersecurity.
Con tali linee guida, l’EDPB ha inteso integrare le linee guida WP250 emanate dal WPG 29 e attualizzarle ai casi pratici oltre che all’intervenuta applicazione quotidiana del GDPR, con lo scopo di fornire utili elementi per la gestione delle violazioni dei dati e quali fattori considerare durante la valutazione del rischio.
Il primo elemento da valutare nell’ambito di qualsiasi di violazione è la possibilità di riconoscerla, per come definito all’art. 4, paragrafo 12 del GDPR.
Nel parere 03/2014 (G29 WP213, del 25 marzo 2014) sulla notifica di violazione e nelle citate linee guida WP 250, il WP29 ha chiarito che le violazioni possono essere classificate in base ai tre principi sulla sicurezza delle informazioni:
Ciascuna violazione, potenzialmente, può avere una serie di effetti negativi significativi, specialmente sugli individui, che possono provocare danni fisici, materiali o immateriali; ciò può significare la perdita di controllo sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto di identità, la frode, perdite finanziarie, l’inibizione non autorizzate della pseudonimizzazione, il danno alla reputazione e la perdita di riservatezza dei dati personali (anche protetti dal segreto professionale) e può anche includere qualsiasi altro significativo svantaggio economico o sociale.
Uno degli obblighi più importanti del titolare del trattamento è valutare questi rischi per i diritti e le libertà degli interessati e attuare adeguate misure tecniche e organizzative per affrontarle.
Il GDPR, ai sensi dell’art. 33, richiede al titolare del trattamento di:
Alcune delle foto presenti su Privacyitalia.eu potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy
Con il sostegno di: