Data breach

  1. Home
  2. Privacy
  3. Tu sei qui: Data breach

Informativa GDPR

Dal 25 maggio 2018 il Regolamento Europeo generale sulla protezione dei dati – UE/2016/679 (GDPR) – sostituisce la direttiva UE sulla protezione dei dati (95/46/CE).

Il Regolamento garantisce nuovi diritti alle persone fisiche, estendendo la portata delle responsabilità del titolare e del responsabile del trattamento dei dati.

I cambiamenti maggiormente rilevanti riguardano:

  1. L'applicazione dei principi di "privacy by design" e di "privacy by default" nei processi di sviluppo e lancio di nuove tecnologie, prodotti o servizi;
  2. l'obbligo di effettuare il c.d. "privacy impact assessment" (PIA)  per quantificare l'impatto del rischio privacy nella gestione dei processi;
  3. l'estensione dei diritti dell'interessato che ora riguardano anche la portabilità dei dati e il diritto all'oblio;
  4. l'obbligo di comunicare alle autorità
 di controllo competenti eventuali violazioni dei dati personali (data breach);
  5. l'applicazione di pesanti sanzioni pecuniarie per inosservanza degli obblighi previsti dal GDPR ;
  6. l'applicazione di norme speciali sulla profilazione.

La nostra attenzione si concentra ora sulla «violazione dei dati personali»:

-  la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.

In particolare vengono prese in considerazione le azioni da intraprendersi nel caso di perdita, distruzione, diffusione indebita di dati personali conservati, trasmessi o comunque trattati a causa di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi e altre calamità.

Nelo specifico il testo del nuovo regolamento prevede l'obbligo di notifica all'autorità di controllo e la comunicazione della violazione al diretto interessato.

L'articolo 33 recita infatti:

Notifica di una violazione dei dati personali all'autorità di controllo

  1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
  2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

      3. La notifica di cui al paragrafo 1 deve almeno:

a. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro

punto di contatto presso cui ottenere più informazioni;

c. descrivere le probabili conseguenze della violazione dei dati personali;

d. descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

     4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in  fasi
         successive senza ulteriore ingiustificato ritardo.

     5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue
         conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il
         rispetto del presente articolo,

ed il successivo articolo 34:

Comunicazione di una violazione dei dati personali all'interessato

  1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.
  2. La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d).
  3. Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a. il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b. il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c. detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

 

Eventi di data breach

​Ad oggi non si sono verificati eventi di "Data Breach".


 Contatti

Artigiancassa S.p.A., con sede in Roma, Via Cristoforo Colombo, 283/A,

Sito Internet: www.artigiancassa.it

Gli indirizzi di posta elettronica al quale scrivere per ottenere informazioni più approfondite sulla natura dell'evento di "Data Breach" sono i seguenti: dirittiprivacy@artigiancassa.it; dirittiprivacy@pecclub.artigiancassa.it.

Ai sensi dell'art. 38 GDPR ti forniamo, inoltre, i dati di contatto del Responsabile della protezione dei dati (DPO), Mario Mosca, raggiungibile all'indirizzo e-mail dataprotectionofficer@artigiancassa.it.