Il registro dei data breach è una documentazione che, ai sensi dell’art. 33 del GDPR, il titolare del trattamento è tenuto a conservare per tenere traccia di tutti i data breach avvenuti.
I titolari del trattamento sono tenuti a conservare un registro dei data breach che deve contenere le seguenti informazioni:
Indice degli argomenti
Il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono l’obbligo di comunicare i data breach all’Autorità stessa e ai soggetti interessati, obbligo che sussiste in determinati settori e in particolari casi. Ove obbligatorio, il mancato o ritardato adempimento della comunicazione espone il titolare del trattamento alla possibilità di sanzioni amministrative.
Per data breach si intende la divulgazione (intenzionale o non), la distruzione, la perdita, la modifica o l’accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni.
Non è corretta quindi l’associazione tra data breach e attacco inforamtico poichè tale violazione può avvenire anche (ad esempio) a causa di un dipendente infedele che sottrae della documentazione cartacea.
Con il provvedimento 161 del 4 aprile 2013 il Garante ha già chiarito cosa debba contenere e che caratteristiche debba avere un registro dei data breach.
Il registro dei data breach deve essere continuamente aggiornato e messo a disposizione del Garante qualora l’Autorità chieda di accedervi.
I titolari del trattamento dovranno registrare nel registro il data breach che li ha coinvolti contestualmente alla comunicazione al Garante (i cui dettagli sono indicati al punto 5 del medesimo provvedimento), avendo cura di inserire tempestivamente gli elementi che dovessero emergere all’esito di ulteriori verifiche.
Il registro dei data breach dovrà inoltre essere strutturato in modo da garantire l’integrità e l’immodificabilità delle registrazioni in esso contenute.
Se hai bisogno di una consulenza GDPR contattaci, saremo lieti di fornirti un preventivo GDPR per le esigenze della tua azienda.