Centro assistenza OVHcloud

Ciao, come possiamo aiutarti?

Casi d’uso

Qualora siano coinvolti dati personali, il titolare del trattamento deve documentare in un registro interno tale violazione.

 

Il mio server dedicato è rimasto inaccessibile per diversi giorni, ma non contiene dati personali. Devo notificarlo?

No, l’obbligo di notifica di una violazione si applica quando una violazione della sicurezza comporta, in modo accidentale o illecito, la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata di dati personali trasmessi, conservati o altrimenti trattati, o l’accesso non autorizzato a tali dati. Se non si tratta di dati personali, non vi è quindi alcun obbligo di notifica.

 

La mia infrastruttura è considerata "non recuperabile" in seguito all'incendio e non avevo effettuato alcun backup. È necessaria una notifica all’autorità di controllo?

Una notifica all’autorità di controllo è necessaria se:

  • i dati personali vengono definitivamente persi (nessun backup)
  • i dati personali sono stati non disponibili per un periodo abbastanza lungo da comportare un rischio per le persone fisiche coinvolte.

Tuttavia, se tale perdita o indisponibilità non è tale da costituire un rischio per i diritti e le libertà delle persone fisiche interessate (ad esempio: dati di scarsa importanza, come dati tecnici), la notifica non è richiesta.

Se invece è necessaria, la notifica deve essere effettuata dal titolare del trattamento dei dati quanto prima e, se possibile, entro 72 ore dalla segnalazione della violazione.

Se sei un incaricato del trattamento, cioè tratti i dati interessati su istruzione di un organismo terzo, ad esempio il tuo cliente, devi comunicargli l'incidente nel più breve tempo possibile, in modo che possa procedere alle notifiche necessarie; oppure, se non è responsabile del trattamento, sei tenuto ad avvisarlo.

Inoltre, se la violazione può comportare rischi elevati per le persone interessate, anche queste devono essere informate direttamente. Il livello di rischio è valutato tenendo conto, in particolare, del tipo di dati, della popolazione interessata (clienti, pazienti, dipendenti, minori, persone vulnerabili) e delle potenziali conseguenze della violazione per le persone coinvolte (ad esempio, la perdita definitiva dei dati sanitari di un paziente può rappresentare un rischio elevato).

 

Sono responsabile del trattamento e la mia infrastruttura è considerata "non recuperabile" in seguito all'incendio, ma ho effettuato dei backup. Devo inviare una notifica all’autorità di controllo?

Se attuare un Disaster Recovery Plan (DRP) o un Piano di continuità di attività (PCA) ha permesso di garantire la continuità del servizio e i dati hanno potuto o potranno essere ripristinati a partire dai backup, senza alcuna conseguenza significativa per le persone coinvolte, la notifica non è necessaria.

 

Utilizzo i servizi Exchange di OVHcloud e le email ricevute o inviate durante l'incidente sono arrivate in ritardo. Devo comunicarlo alla mia autorità per la protezione dei dati?

L'attuazione dei DRP e PCA di OVHcloud ha permesso di ripristinare i dati a partire dai backup. Le conseguenze per gli interessati sono state pertanto ridotte (impossibilità temporanea di accedere alle e-mail). In questo caso non è necessaria alcuna notifica preliminare, a meno che non sia dimostrato un rischio per gli interessati.

 

I miei servizi di posta elettronica non sono stati raggiungibili per alcune ore dopo l'incidente, ma non si è verificata alcuna perdita. Devo notificare questa indisponibilità?

No, solo le "violazioni di dati personali" devono essere notificate. L'indisponibilità temporanea non è definita come una violazione dall'articolo 4, paragrafo 12, del GDPR.

 

 

Hai trovato utile questo suggerimento? o
Fantastico! Siamo contenti di esserti stati utili.
Grazie per l’aiuto! Il tuo feedback sarà esaminato al più presto dai nostri team.
Facci sapere perché non hai trovato la tua risposta. Le richieste di supporto non verranno gestite tramite questo form. Per questo, è necessario creare un ticket tramite l'apposito modulo.