GDPR
Una delle tematiche affrontate dal GDPR riguarda il Data Breach, definito come qualsiasi attività che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Le aziende, entro 72 ore dalla venuta a conoscenza della violazione subita (eventuali ritardi devono essere giustificati) devono comunicare all’Authority la natura della violazione, le possibili conseguenze, le misure adottate per rimediare o ridurre l’impatto del danno subito, ma anche fornire il nome e i dati di contatto del DPO.
Qualora sussistesse un rischio elevato per i diritti e le libertà della persona fisica i cui dati sono compromessi, la comunicazione dovrà avvenire anche agli interessati con le stesse modalità fornite all’Autorità.
Esistono però alcuni casi per i quali la notifica all’interessato non è necessaria, ossia quando i dati non sono stati compromessi a seguito della violazione, se sono state adottate misure successive atte a scongiurare il sopraggiungere un rischio elevato dei diritti dell’interessato o qualora l’invio della comunicazione richieda sforzi sproporzionati.