Il registro dei data breach è una documentazione che, ai sensi dell’art. 33 del GDPR, il titolare del trattamento è tenuto a conservare per tenere traccia di tutti i data breach avvenuti.

I titolari del trattamento sono tenuti a conservare un registro dei data breach che deve contenere le seguenti informazioni:

• i dettagli relativi al data breach, ovvero informazioni inerenti le cause della violazione, il luogo nel quale essa è avvenuta e la tipologia dei dati personali violati;
• gli effetti e le conseguenze della violazione;
• il piano di intervento predisposto dal titolare;
• la motivazione delle decisioni assunte a seguito del data breach nei casi in cui:
  • il titolare ha deciso di non procedere alla notifica;
  • il titolare ha ritardato nella procedura di notifica;
  • il titolare ha deciso di non notificare il data breach agli interessati.

Registro data breach: gli adempimenti previsti in caso di data breach

Il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono l’obbligo di comunicare i data breach all’Autorità stessa e ai soggetti interessati, obbligo che sussiste in determinati settori e in particolari casi. Ove obbligatorio, il mancato o ritardato adempimento della comunicazione espone il titolare del trattamento alla possibilità di sanzioni amministrative.

Per data breach si intende la divulgazione (intenzionale o non), la distruzione, la perdita, la modifica o l’accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni.

Non è corretta quindi l’associazione tra data breach e attacco inforamtico poichè tale violazione può avvenire anche (ad esempio) a causa di un dipendente infedele che sottrae della documentazione cartacea.

Come gestire il registro dei data breach

Con il provvedimento 161 del 4 aprile 2013 il Garante ha già chiarito cosa debba contenere e che caratteristiche debba avere un registro dei data breach.

Il registro dei data breach deve essere continuamente aggiornato e messo a disposizione del Garante qualora l’Autorità chieda di accedervi.

I titolari del trattamento dovranno registrare nel registro il data breach che li ha coinvolti contestualmente alla comunicazione al Garante (i cui dettagli sono indicati al punto 5 del medesimo provvedimento), avendo cura di inserire tempestivamente gli elementi che dovessero emergere all’esito di ulteriori verifiche.

Il registro dei data breach dovrà inoltre essere strutturato in modo da garantire l’integrità e l’immodificabilità delle registrazioni in esso contenute.

Se hai bisogno di una consulenza GDPR contattaci, saremo lieti di fornirti un preventivo GDPR per le esigenze della tua azienda.