Il processo di Incident Management in caso di Data Breach
Avv. Guglielmo Troiano Ing. Roberto Obialero
Milano, 29 GENNAIO 2016
#READY4EUDATAP
#READY4EUDATAP
Problema # 1: episodi di data breach
#READY4EUDATAP
Problema # 1: episodi di data breach
#READY4EUDATAP
Problema # 1: episodi di data breach
#READY4EUDATAP
Problema # 2: capacità di rilevamento
#READY4EUDATAP
Problema # 2: capacità di rilevamento
#READY4EUDATAP
Cosa prevede il Regolamento UE
VIOLAZIONE DI DATI PERSONALI
definizione (art. 4 n. 9)
Una violazione di sicurezza che comporta
accidentalmente (colpa) o in modo illecito (dolo)
1. Distruzione
2. Perdita
3. Modifica
4. Rivelazione non autorizzata
5. Accesso ai dati personali trasmessi, memorizzati
o comunque elaborati
#READY4EUDATAP
Cosa prevede il Regolamento UE
VIOLAZIONE DI DATI PERSONALI
notifica all'autorità (art. 31)
Non appena il Titolare viene a conoscenza della
violazione deve senza indugio e, ove possibile,
non più tardi di 72 ore (da quando ne ha avuto
notizia) informare la competente autorità a meno
che non sia in grado di dimostrare, in conformità
con il principio di responsabilità, che la violazione di
dati personali non si presti ad un rischio per i diritti
e le libertà delle persone.
#READY4EUDATAP
Cosa prevede il Regolamento UE
VIOLAZIONE DI DATI PERSONALI
notifica agli interessati (art. 32)
SI, se c'è rischio per diritti e libertà dell'interessato
NO, se:
- sono attuate protezioni tecniche e organizzative
(dati incomprensibili o cifrati)
- sono attuati provvedimenti ulteriori che annullano
di fatto i rischi per diritti e libertà dell’interessato
- la notifica comporta uno sforzo sproporzionato >
adozione di misure alternative ugualmente efficaci
#READY4EUDATAP
Il processo di Incident Management
Preparazione Identificazione Contenimento Rimozione Ripristino Lezioni apprese
#READY4EUDATAP
# Rischi da considerare
#READY4EUDATAP
# Rischi da considerare
#READY4EUDATAP
Grazie per l’attenzione
http://goo.gl/Esf30u
#READY4EUDATAP
Facci una domanda sul Blog
Contattaci su Twitter
