DATA BREACH: NIENTE COMUNICAZIONI ELUSIVE AGLI INTERESSATI

SOGGETTI COINVOLTI: Titolare del trattamento, Provider

SINTESI DEL PROVVEDIMENTO: Un data breach non può essere minimizzato come una semplice anomalia. La comunicazione dovuta agli interessati deve descrivere la natura della violazione con un linguaggio semplice e chiaro e deve contenere almeno i dati di contatto del DPO, descrivere le probabili conseguenze della violazione dei dati ed indicare il progetto di messa in sicurezza adottato dal Titolare per porre rimedio alla violazione.

RIFERIMENTO: Provvedimento n. 106 del 30 aprile 2019, doc. web n. 9116509

RICADUTE OPERATIVE SUI PROCESSI AZIENDALI: Sulla base del principio affermato la comunicazione agli interessati deve essere chiara, semplice e particolarmente circostanziata. La mancanza anche solo di uno di questi requisiti rende la comunicazione non conforme al dettato normativo ed obbliga il Titolare del trattamento ad effettuare una nuova notifica ai sensi dell’art. 34 del Regolamento UE 2016/679.

NORMATIVA: Art. 33 del Regolamento UE 2016/679; Art. 34 del Regolamento UE 2016/679