Casi d’uso
Qualora siano coinvolti dati personali, il titolare del trattamento deve documentare in un registro interno tale violazione.
Il mio server dedicato è rimasto inaccessibile per diversi giorni, ma non contiene dati personali. Devo notificarlo?
No, l’obbligo di notifica di una violazione si applica quando una violazione della sicurezza comporta, in modo accidentale o illecito, la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata di dati personali trasmessi, conservati o altrimenti trattati, o l’accesso non autorizzato a tali dati. Se non si tratta di dati personali, non vi è quindi alcun obbligo di notifica.
La mia infrastruttura è considerata "non recuperabile" in seguito all'incendio e non avevo effettuato alcun backup. È necessaria una notifica all’autorità di controllo?
Una notifica all’autorità di controllo è necessaria se:
- i dati personali vengono definitivamente persi (nessun backup)
- i dati personali sono stati non disponibili per un periodo abbastanza lungo da comportare un rischio per le persone fisiche coinvolte.
Tuttavia, se tale perdita o indisponibilità non è tale da costituire un rischio per i diritti e le libertà delle persone fisiche interessate (ad esempio: dati di scarsa importanza, come dati tecnici), la notifica non è richiesta.
Se invece è necessaria, la notifica deve essere effettuata dal titolare del trattamento dei dati quanto prima e, se possibile, entro 72 ore dalla segnalazione della violazione.
Se sei un incaricato del trattamento, cioè tratti i dati interessati su istruzione di un organismo terzo, ad esempio il tuo cliente, devi comunicargli l'incidente nel più breve tempo possibile, in modo che possa procedere alle notifiche necessarie; oppure, se non è responsabile del trattamento, sei tenuto ad avvisarlo.
Inoltre, se la violazione può comportare rischi elevati per le persone interessate, anche queste devono essere informate direttamente. Il livello di rischio è valutato tenendo conto, in particolare, del tipo di dati, della popolazione interessata (clienti, pazienti, dipendenti, minori, persone vulnerabili) e delle potenziali conseguenze della violazione per le persone coinvolte (ad esempio, la perdita definitiva dei dati sanitari di un paziente può rappresentare un rischio elevato).
Sono responsabile del trattamento e la mia infrastruttura è considerata "non recuperabile" in seguito all'incendio, ma ho effettuato dei backup. Devo inviare una notifica all’autorità di controllo?
Se attuare un Disaster Recovery Plan (DRP) o un Piano di continuità di attività (PCA) ha permesso di garantire la continuità del servizio e i dati hanno potuto o potranno essere ripristinati a partire dai backup, senza alcuna conseguenza significativa per le persone coinvolte, la notifica non è necessaria.
Utilizzo i servizi Exchange di OVHcloud e le email ricevute o inviate durante l'incidente sono arrivate in ritardo. Devo comunicarlo alla mia autorità per la protezione dei dati?
L'attuazione dei DRP e PCA di OVHcloud ha permesso di ripristinare i dati a partire dai backup. Le conseguenze per gli interessati sono state pertanto ridotte (impossibilità temporanea di accedere alle e-mail). In questo caso non è necessaria alcuna notifica preliminare, a meno che non sia dimostrato un rischio per gli interessati.
I miei servizi di posta elettronica non sono stati raggiungibili per alcune ore dopo l'incidente, ma non si è verificata alcuna perdita. Devo notificare questa indisponibilità?
No, solo le "violazioni di dati personali" devono essere notificate. L'indisponibilità temporanea non è definita come una violazione dall'articolo 4, paragrafo 12, del GDPR.
Risultati simili