Privacy e incidenti informatici: introdotto il nuovo modello
Dal 30 luglio 2019, al provvedimento n. 157 è stato allegato un nuovo modello utile a segnalare incidenti (informatici o meno), legati ad una possibile violazione dei dati personali: si tratta del data breach. Questa novità consiste in un vero e proprio modulo che va a sostituire integralmente ogni precedente provvedimento in materia di privacy.
Che si tratti di operatori pubblici o privati, a differenza del passato, tutti coloro che trattano dati personali devono notificare al Garante per la privacy i data breach. Sono tante le possibili occasioni nelle quali questo modello va utilizzato, a partire dai semplici smarrimenti di computer o dispositivi elettronici, passando per i virus informatici, sino ad arrivare ai ben più temibili ricatti digitali.
La giusta compilazione per i diversi tipi di violazione
Quando si va a compilare un data breach è bene tenere a mente che esistono ben 3 diversi tipi di violazione. Nel modello per il Garante va riportata in maniera esatta di quale tipo di violazione tra:
- confidenzialità: può riguardare o la diffusione dei dati oppure un accesso accidentali agli stessi;
- integrità: è un tipo di violazione che avviene quando vengono modificati i dati in maniera del tutto accidentale;
- disponibilità: si tratta di una violazione che concerne la perdita, distruzione non autorizzata o l’impossibilità di accesso ai dati.
Ognuna di queste violazioni va specificata nel modello del Garante, proprio per rendere chiaro di che tipo di incidente si tratta. All’interno del modulo vanno descritti, altresì, in maniera dettagliata che tipi di dati sono stati oggetto di violazione (identificativi, credenziali di accesso, indirizzi, pin, dati di carte di credito, ecc.) e quali mezzi tecnici possono essere utilizzati in futuro per evitare di incorrere nello stesso problema.
Data breach: segnalare gli incidenti informatici al Garante
Inviare il modello allegato al provvedimento n.157 è molto semplice. Basta scaricare lo stesso sul proprio dispositivo e compilarlo in ogni sua parte, facendo attenzione ad ogni dettaglio. Il Garante riceverà la notifica sull’indirizzo e-mail predisposto: protocollo@pec.gpdp.it.
Il modello deve essere firmato con firma elettronica o firma digitale. Nel caso in cui si decida di utilizzare l’opzione della firma autografa, assieme al modello dovrà essere allegata la copia di un documento di riconoscimento di chi firma. E’ fondamentale ed obbligatorio che il data breach abbia come oggetto “notifica violazione dati personali”.
Si tratta quindi di una procedura molto semplice e alla portata di tutti, che potrà senza dubbio favorire la trasparenza nella gestione dei dati personali.