Faqs_2

Le prescrizioni del GDPR sulle violazioni di dati personali evidenziano la necessità di strutturare un apposito processo aziendale al riguardo, suddiviso in distinte fasi. La prima di queste concerne l’individuazione delle misure idonee a minimizzare il rischio di data breach (prevention), seguita dalla fase volta ad assicurare la tempestiva rilevazione delle violazioni (timely alert), la tempestiva ed esauriente analisi dell’incidente (incident analysis), l’individuazione delle azioni di rimedio e di mitigazione degli effetti nocivi (incident response), la valutazione degli effetti data protection ai fini della valutazione di obbligatorietà della notificazione all’Autorità o della comunicazione agli interessati e, infine, la corretta reportistica riguardante tutti tali elementi.

Il GDPR richiede che, in caso di violazione, il responsabile del trattamento informi la violazione senza ingiustificato ritardo e, ove possibile, entro e non oltre 72 ore dopo essere venuta a conoscenza. Ciò può sollevare la questione di quando un titolare possa essere considerato “a conoscenza” di una violazione.

Si ritiene che il titolare dovrebbe essere considerato “consapevole” quando ha un ragionevole grado di certezza che si è verificato un incidente di sicurezza che ha causato la possibile compromissione dei dati personali.

wp259 rev.01

Le prescrizioni del GDPR sulle violazioni di dati personali evidenziano la necessità di strutturare un apposito processo aziendale al riguardo, suddiviso in distinte fasi. La prima di queste concerne l’individuazione delle misure idonee a minimizzare il rischio di data breach (prevention), seguita dalla fase volta ad assicurare la tempestiva rilevazione delle violazioni (timely alert), la tempestiva ed esauriente analisi dell’incidente (incident analysis), l’individuazione delle azioni di rimedio e di mitigazione degli effetti nocivi (incident response), la valutazione degli effetti data protection ai fini della valutazione di obbligatorietà della notificazione all’Autorità o della comunicazione agli interessati e, infine, la corretta reportistica riguardante tutti tali elementi.

Il GDPR richiede che, in caso di violazione, il responsabile del trattamento informi la violazione senza ingiustificato ritardo e, ove possibile, entro e non oltre 72 ore dopo essere venuta a conoscenza. Ciò può sollevare la questione di quando un titolare possa essere considerato “a conoscenza” di una violazione.

Si ritiene che il titolare dovrebbe essere considerato “consapevole” quando ha un ragionevole grado di certezza che si è verificato un incidente di sicurezza che ha causato la possibile compromissione dei dati personali.

wp259 rev.01

Le prescrizioni del GDPR sulle violazioni di dati personali evidenziano la necessità di strutturare un apposito processo aziendale al riguardo, suddiviso in distinte fasi. La prima di queste concerne l’individuazione delle misure idonee a minimizzare il rischio di data breach (prevention), seguita dalla fase volta ad assicurare la tempestiva rilevazione delle violazioni (timely alert), la tempestiva ed esauriente analisi dell’incidente (incident analysis), l’individuazione delle azioni di rimedio e di mitigazione degli effetti nocivi (incident response), la valutazione degli effetti data protection ai fini della valutazione di obbligatorietà della notificazione all’Autorità o della comunicazione agli interessati e, infine, la corretta reportistica riguardante tutti tali elementi.

Il GDPR richiede che, in caso di violazione, il responsabile del trattamento informi la violazione senza ingiustificato ritardo e, ove possibile, entro e non oltre 72 ore dopo essere venuta a conoscenza. Ciò può sollevare la questione di quando un titolare possa essere considerato “a conoscenza” di una violazione.

Si ritiene che il titolare dovrebbe essere considerato “consapevole” quando ha un ragionevole grado di certezza che si è verificato un incidente di sicurezza che ha causato la possibile compromissione dei dati personali.

wp259 rev.01

Le prescrizioni del GDPR sulle violazioni di dati personali evidenziano la necessità di strutturare un apposito processo aziendale al riguardo, suddiviso in distinte fasi. La prima di queste concerne l’individuazione delle misure idonee a minimizzare il rischio di data breach (prevention), seguita dalla fase volta ad assicurare la tempestiva rilevazione delle violazioni (timely alert), la tempestiva ed esauriente analisi dell’incidente (incident analysis), l’individuazione delle azioni di rimedio e di mitigazione degli effetti nocivi (incident response), la valutazione degli effetti data protection ai fini della valutazione di obbligatorietà della notificazione all’Autorità o della comunicazione agli interessati e, infine, la corretta reportistica riguardante tutti tali elementi.

Il GDPR richiede che, in caso di violazione, il responsabile del trattamento informi la violazione senza ingiustificato ritardo e, ove possibile, entro e non oltre 72 ore dopo essere venuta a conoscenza. Ciò può sollevare la questione di quando un titolare possa essere considerato “a conoscenza” di una violazione.

Si ritiene che il titolare dovrebbe essere considerato “consapevole” quando ha un ragionevole grado di certezza che si è verificato un incidente di sicurezza che ha causato la possibile compromissione dei dati personali.

wp259 rev.01

Le prescrizioni del GDPR sulle violazioni di dati personali evidenziano la necessità di strutturare un apposito processo aziendale al riguardo, suddiviso in distinte fasi. La prima di queste concerne l’individuazione delle misure idonee a minimizzare il rischio di data breach (prevention), seguita dalla fase volta ad assicurare la tempestiva rilevazione delle violazioni (timely alert), la tempestiva ed esauriente analisi dell’incidente (incident analysis), l’individuazione delle azioni di rimedio e di mitigazione degli effetti nocivi (incident response), la valutazione degli effetti data protection ai fini della valutazione di obbligatorietà della notificazione all’Autorità o della comunicazione agli interessati e, infine, la corretta reportistica riguardante tutti tali elementi.

Il GDPR richiede che, in caso di violazione, il responsabile del trattamento informi la violazione senza ingiustificato ritardo e, ove possibile, entro e non oltre 72 ore dopo essere venuta a conoscenza. Ciò può sollevare la questione di quando un titolare possa essere considerato “a conoscenza” di una violazione.

Si ritiene che il titolare dovrebbe essere considerato “consapevole” quando ha un ragionevole grado di certezza che si è verificato un incidente di sicurezza che ha causato la possibile compromissione dei dati personali.

wp259 rev.01

Le prescrizioni del GDPR sulle violazioni di dati personali evidenziano la necessità di strutturare un apposito processo aziendale al riguardo, suddiviso in distinte fasi. La prima di queste concerne l’individuazione delle misure idonee a minimizzare il rischio di data breach (prevention), seguita dalla fase volta ad assicurare la tempestiva rilevazione delle violazioni (timely alert), la tempestiva ed esauriente analisi dell’incidente (incident analysis), l’individuazione delle azioni di rimedio e di mitigazione degli effetti nocivi (incident response), la valutazione degli effetti data protection ai fini della valutazione di obbligatorietà della notificazione all’Autorità o della comunicazione agli interessati e, infine, la corretta reportistica riguardante tutti tali elementi.

Il GDPR richiede che, in caso di violazione, il responsabile del trattamento informi la violazione senza ingiustificato ritardo e, ove possibile, entro e non oltre 72 ore dopo essere venuta a conoscenza. Ciò può sollevare la questione di quando un titolare possa essere considerato “a conoscenza” di una violazione.

Si ritiene che il titolare dovrebbe essere considerato “consapevole” quando ha un ragionevole grado di certezza che si è verificato un incidente di sicurezza che ha causato la possibile compromissione dei dati personali.

wp259 rev.01