Gravità della violazione dei dati
Come viene calcolata la gravità della violazione dei dati secondo il regolatore del GDPR?
Non è un calcolo matematico e dipende dall'ente regolatore. Il regolatore prenderà in considerazione alcuni punti:
SCARICA IL NOSTRO EBOOK GRATUITO
- Tipo di violazione. Se la violazione riguarda la divulgazione dei dati personali (a "violazione della riservatezza"), la perdita di accesso o la distruzione dei dati personali (un "violazione della disponibilità"), e/o alterazione dei dati personali (un "violazione dell'integrità") può influire sul rischio per gli interessati.
- Natura, sensibilità e volume dei dati personali. Le linee guida affermano che le violazioni che coinvolgono dati personali sensibili - comprese le "categorie speciali" di dati relativi all'origine razziale o etnica, alle opinioni politiche, alla sessualità, alle convinzioni religiose o filosofiche, all'appartenenza sindacale, alla salute o ai dati genetici, o alle condanne penali, e altri dati sensibili come i documenti d'identità o i dati finanziari - hanno maggiori probabilità di essere ad alto rischio. Le violazioni che coinvolgono una combinazione di dati personali sono in genere più rischiose di quelle che coinvolgono solo un singolo dato personale (non sensibile).
- La gravità delle conseguenze per gli individui. Le Linee guida indicano furto d'identitàLe conseguenze potenziali, particolarmente gravi, sono la frode, il danno fisico, il disagio psicologico, l'umiliazione e il danno alla reputazione. Anche la permanenza delle conseguenze e, nel caso di una violazione della riservatezza, l'affidabilità o la malizia del destinatario non autorizzato dei dati personali sono fattori da considerare.
- Numero e caratteristiche dei soggetti colpiti. Le Linee guida osservano che l'impatto della violazione è probabilmente maggiore quando è interessato un numero maggiore di individui. Le violazioni che riguardano bambini o altri soggetti vulnerabili possono essere più rischiose di quelle che non lo sono.
- Facilità di identificazione degli individui dai dati personali interessati, anche se i dati sono pseudonimi.
Come comportarsi in caso di violazione dei dati?
Ma la cosa più importante è dimostrare che la vostra azienda ha fatto del suo meglio:
- avete notificato la violazione dei dati all'autorità di regolamentazione 72 ore dopo esserne venuti a conoscenza?
- Avete registrato il violazione dei dati?
- State lavorando con la privacy dei dati per la progettazione e privacy dei dati per impostazione predefinita?
- Avete fatto una DPIA?
Notifica delle violazioni dei dati ai sensi del GDPR - 10 domande frequenti