Salta al contenuto
DATA BREACH

Sei pronto a gestire un data breach?

Nove verifiche su procedura, registro, ruoli e contratti per capire quanto sei preparato a rispettare gli obblighi degli artt. 33-34 GDPR — prima che una violazione accada.

Caricamento…

Approfondimento

Preparazione al data breach: sei pronto a reagire in 72 ore?

Un data breach — la violazione di sicurezza che porta a distruzione, perdita, divulgazione o accesso non autorizzato a dati personali — non è una questione di “se” ma di “quando”. Il GDPR impone tempi stretti: la notifica all’autorità di controllo entro 72 ore dalla scoperta (art. 33) e, nei casi di rischio elevato per i diritti degli interessati, la comunicazione senza ingiustificato ritardo alle persone coinvolte (art. 34). Chi non è preparato scopre di non riuscire a rispettare questi termini proprio nel momento peggiore.

Questo strumento verifica la tua preparazione su nove fronti: procedura documentata, capacità di rilevazione, registro delle violazioni (art. 33.5), valutazione del rischio, catena di comunicazione, ruoli ed escalation, gestione dei fornitori (art. 28 e 33.2), formazione e contatti di emergenza. A differenza di uno strumento di triage, che si usa dopo un incidente, questo misura la readiness preventiva. Ricevi il report con il tuo livello di preparazione in PDF via email.

Domande frequenti sui data breach

Cos’è un data breach secondo il GDPR?

È una violazione di sicurezza che comporta accidentalmente o illecitamente la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato a dati personali (art. 4 n. 12 GDPR). Include attacchi informatici, ma anche errori umani, smarrimento di dispositivi e invii errati.

Entro quanto va notificato un data breach?

La notifica all’autorità di controllo va effettuata senza ingiustificato ritardo e comunque entro 72 ore dal momento in cui si è venuti a conoscenza della violazione (art. 33). Se la notifica è tardiva, va motivato il ritardo.

Bisogna sempre notificare un data breach al Garante?

No. La notifica è dovuta a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone. Ogni violazione va comunque valutata e registrata nel registro interno delle violazioni (art. 33.5), anche quando non viene notificata.

Quando vanno informati gli interessati?

Quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, queste vanno informate senza ingiustificato ritardo con un linguaggio chiaro (art. 34), salvo che siano state adottate misure che rendono i dati inintelligibili, come la cifratura.

Cosa serve per essere pronti a un data breach?

Una procedura scritta, ruoli e responsabilità chiari, la capacità di rilevare e documentare l’incidente, un modello di valutazione del rischio, i contatti dell’autorità e del DPO, accordi con i fornitori (art. 28) e formazione periodica del personale.