GDPR: Come valutare il rischio in caso di violazione dei dati personali

In caso di violazione dei dati personali, la nuova normativa europea GDPR prevede che il titolare del trattamento informi il Garante della Privacy e gli interessati di quanto avvenuto, dopo aver valutato il rischio che tale violazione comporta per gli interessati.

Cosa si intende per rischio

Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità per i diritti e le libertà

Linee guida del Gruppo di lavoro Garante per la Privacy Articolo 29 WP248rev.1

Nella valutazione del rischio, oltre alla gravità e alla probabilità, bisogna considerare:

  1. l’origine del rischio
  2. la natura del rischio e della valutazione
  3. l’impatto sui diritti e sulle libertà degli interessati.

Il rischio è da valutare in relazione agli interessati, non al titolare. È quindi fondamentale che ogni valutazione sia fatta per minimizzare i rischi per le persone i cui dati sono stati violati.

Quali sono i possibili danni che gli interessati rischiano

Quando il titolare dei dati personali valuta se è necessario notificare al Garante la violazione, deve avere ben presenti i possibili danni che la violazione comporta per gli interessati.

Questi danni sono riconducibili a:

  • danni per la reputazione
  • discriminazione
  • furto d’identità
  • danni fisici o psicologici
  • perdite finanziarie
  • perdita di controllo dei dati
  • impossibilità di esercitare diritti, accedere a servizi o cogliere opportunità.

Come comportarsi in caso di violazione con un elevato rischio

Il titolare del trattamento è tenuto a dare comunicazione dell’avvenuta violazione al Garante (entro 72 ore dal momento in cui il titolare sia venuto a conoscenza del fatto) e all’interessato, secondo le modalità qui descritte.

Quali sono le misure per evitare la violazione

Il titolare del trattamento deve mettere in atto strategie per la protezione dei dati, che scongiurino la possibilità di violazione degli stessi. Le misure sono:

  1. MISURE ORGANIZZATIVE: ruoli, governance, istruzioni, formazione, procedure, audit, strumenti di controllo per gli interessati, contatti chiari
  2. MISURE TECNOLOGICHE: policy di sicurezza logiche e fisiche, aggiornamenti servizi e software, test, controllo accessi e tracciamento operazioni
  3. Cifratura dei dati
  4. Conservazione adeguata dei dati
  5. Minimizzazione.

Tutte queste strategie possono essere gestite con The Original Consulting, che rappresenta un valido alleato nella pianificazione e nella messa in atto delle misure necessarie a garantire l’adeguatezza del trattamento, secondo quanto stabilito dal regolamento Europeo GDPR.

div#stuning-header .dfd-stuning-header-bg-container {background-image: url(https://theoriginalconsulting.com/wp-content/uploads/2019/02/banner-gdpr-red.jpg);background-size: cover;background-position: center bottom;background-attachment: initial;background-repeat: no-repeat;}#stuning-header div.page-title-inner {min-height: 650px;}
Translate »