Risposta alle Violazioni dei Dati

Cos’è Risposta alle Violazioni dei Dati?

La risposta alle violazioni dei dati ai sensi del GDPR è il processo obbligatorio di rilevamento, valutazione e segnalazione delle violazioni dei dati personali entro la finestra di notifica di 72 ore stabilita dall'Articolo 33 del regolamento. La mancata notifica nei tempi previsti può comportare sanzioni fino a 10 milioni di EUR o il 2% del fatturato annuo globale. Questo esercizio ti colloca nelle prime ore dopo che la tua organizzazione scopre che dati personali potrebbero essere stati compromessi. Inizi con il triage dell'incidente: determini quanti record sono coinvolti, quali categorie di dati personali sono interessate e se la violazione comporta un rischio per i diritti e le libertà degli individui. Da lì, redigi la notifica alla tua autorità di controllo, che deve includere la natura della violazione, il numero approssimativo di interessati coinvolti, le probabili conseguenze e le misure adottate per affrontarla. L'esercizio copre anche quando e come notificare direttamente gli individui interessati, cosa che diventa obbligatoria quando la violazione è suscettibile di comportare un rischio elevato per i loro diritti. Ti eserciterai a compiere le difficili valutazioni che determinano se un incidente si qualifica come violazione notificabile o rientra al di sotto della soglia. Casi reali di applicazione, inclusa la sanzione di 20 milioni di GBP contro British Airways per ritardo nella risposta, illustrano perché velocità e accuratezza sono fondamentali in quelle prime ore critiche.

Cosa imparerai in Risposta alle Violazioni dei Dati

• Valutare la gravità della violazione classificando le categorie di dati, il volume dei record interessati e il rischio per gli individui
• Redigere una notifica all'autorità di controllo che includa tutti gli elementi richiesti dall'Articolo 33(3) del GDPR
• Determinare se una violazione raggiunge la soglia di "rischio elevato" che richiede la notifica diretta agli individui interessati
• Coordinare la tempistica di risposta interna per rispettare il termine di segnalazione di 72 ore dal momento in cui se ne viene a conoscenza
• Documentare le decisioni e le motivazioni della risposta alla violazione per dimostrare accountability durante la revisione da parte dell'autorità di controllo

Risposta alle Violazioni dei Dati — Fasi della formazione

1. Introduzione

   La formazione di oggi ti insegnerà i requisiti di notifica della violazione dei dati GDPR: uno degli obblighi di conformità più critici che qualsiasi organizzazione che gestisce dati personali deve comprendere.

2. Esportazione dati di routine

   Alice sta preparando un'esportazione di routine dei dati dei clienti per VendorPartner Inc., un legittimo partner di integrazione di terze parti. Il foglio di calcolo contiene 847 record di clienti inclusi nomi, indirizzi e-mail, numeri di telefono e indirizzi postali. Questa è un'attività settimanale standard che Alice ha svolto decine di volte in passato. Apre il client di posta elettronica per inviare il file a John Smith presso VendorPartner.

3. L'errore

   Alice finisce di digitare l'e-mail e preme Invia. Pochi secondi dopo, dà un'occhiata alla cartella 'Inviati' e nota qualcosa che non va. L'e-mail è stata inviata a john.smith847@gmail.com anziché all'indirizzo corretto: john.smith@vendorpartner.com: il completamento automatico suggeriva un indirizzo Gmail personale dall'aspetto simile e Alice lo ha cliccato senza controllare attentamente. 847 record di clienti sono ora nelle mani di una persona sconosciuta.

4. La decisione critica

   Il cuore di Alice sprofonda. Il suo primo istinto è sperare che nessuno se ne accorga: forse il destinatario lo cancellerà semplicemente? Forse può far finta che non sia mai successo? Ma Alice ricorda la sua formazione sul GDPR. Una violazione dei dati include la 'divulgazione accidentale o illecita di dati personali'. L'invio dei record dei clienti all'indirizzo e-mail sbagliato è chiaramente idoneo. Ai sensi dell'articolo 33 del GDPR, la sua azienda ha esattamente 72 ore dal momento in cui viene a conoscenza della violazione per notificare l'autorità di controllo. L'orologio parte adesso, non quando finiscono le indagini.

5. Accesso al portale degli incidenti

   Alice decide di fare la cosa giusta e denunciare immediatamente l'accaduto. Apre il sistema di segnalazione degli incidenti interni dell'azienda. DataGuard Solutions dispone di un portale dedicato alla segnalazione delle violazioni che si collega direttamente al responsabile della protezione dei dati (DPO) e al team di risposta agli incidenti.

6. Presentazione della segnalazione di violazione

   Alice compila il modulo di segnalazione dell'incidente con i dettagli completi sull'e-mail indirizzata erroneamente. Essere accurati e onesti è essenziale: il DPO ha bisogno di informazioni accurate per valutare la gravità della violazione e determinare i requisiti di notifica.

7. Risposta del DPO

   Entro pochi minuti dall'invio della segnalazione, Alice riceve una chiamata dalla dottoressa Sarah Chen, responsabile della protezione dei dati dell'azienda. La dottoressa Chen ringrazia Alice per aver segnalato immediatamente e spiega come funziona il processo di valutazione delle violazioni ai sensi del GDPR.

8. Comprendere la regola delle 72 ore

   Il Dr. Chen spiega i requisiti chiave del GDPR: Articolo 33 : i titolari del trattamento devono notificare all'autorità di controllo entro 72 ore dal momento in cui sono venuti a conoscenza di una violazione L'orologio è iniziato quando Alice si è accorta che l'e-mail era andata all'indirizzo sbagliato, non al termine dell'indagine I fine settimana e i giorni festivi non prolungano la scadenza La mancata notifica può comportare sanzioni fino a 10 milioni di euro o al 2% del totale globale entrate annuali L'RPD valuterà ora se questa violazione 'potrebbe comportare un rischio per i diritti e le libertà delle persone fisiche'; in tal caso, la notifica all'autorità è obbligatoria.

9. Azioni di contenimento

   Il team di risposta agli incidenti ha iniziato le azioni di contenimento: Tentativo di richiamo dell'e-mail tramite il server di posta La sicurezza IT sta analizzando i log del server Il team legale è stato informato Il destinatario Gmail sconosciuto è stato contattato richiedendo l'eliminazione Dr. Chen spiega che, nonostante gli sforzi di contenimento, la violazione deve comunque essere documentata e potenzialmente segnalata. La questione chiave è se la violazione rappresenta un rischio per le persone interessate.

10. Documentare l'incidente

    Anche se la notifica all’autorità di controllo non è richiesta, il GDPR impone che tutte le violazioni debbano essere documentate internamente. Ad Alice viene chiesto di fornire ulteriore documentazione sull'incidente, inclusa la cronologia esatta e qualsiasi prova in suo possesso.