I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

SCOPRI GLI ABBONAMENTI

Adempimento orizzontale per data breach

Il tema degli incidenti di sicurezza, comunemente noto come “data breach”, è regolamentato da una complessa rete di norme che spaziano dal diritto dell’Unione Europea al diritto nazionale. Il GDPR impone obblighi stringenti ai titolari e ai responsabili del trattamento dei dati, in materia di incidenti di sicurezza che coinvolgono dati personali, tra cui la notifica delle violazioni all’autorità di controllo entro 72 ore.

In questo contesto, questa puntata dell’Alert si propone di analizzare le principali normative europee e nazionali in materia, in particolare, la NIS 2, la norma nazionale di attuazione e quelle che riguardano il settore finanziario, evidenziando le aree di sovrapposizione e le sfide che ne derivano per una gestione efficace e omogenea di incidenti tecnici e violazioni dei dati personali.

Data breach e violazione di dati

È importante distinguere tra violazione dei dati personali e incidente tecnico di sicurezza.

Una violazione dei dati personali si verifica quando un incidente di sicurezza comporta accidentalmente o in modo illecito la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai dati personali trattati, compromettendo la riservatezza, l’integrità o la disponibilità dei dati personali. Invece, un incidente tecnico di sicurezza riguarda eventi che compromettono la riservatezza, l’integrità o la disponibilità di dati e sistemi, ma non necessariamente coinvolgono dati personali. Gli incidenti tecnici possono includere attacchi informatici, malware, accessi non autorizzati, o interruzioni di servizio.

La violazione di dati personali è sempre causata da un incidente, ma un incidente informatico non sempre produce una violazione di dati personali.

Nonostante la distinzione dei concetti, molte norme sia di diritto europeo sia di fonte nazionale regolamentano il tema dei data breach con una sovrapposizione di disciplina che si manifesta in vari ambiti applicativi, rendendo difficile una gestione armonizzata di incidenti e violazioni dei dati. Ad esempio, mentre il GDPR stabilisce criteri generali per la violazione di dati e la connessa comunicazione agli interessati, altre leggi possono introdurre requisiti aggiuntivi o differenti modalità di comunicazione per gli incidenti informatici.

Settori specifici come quello finanziario sono soggetti a regolamentazioni particolari che complicano ulteriormente il quadro normativo. La conseguenza è che le organizzazioni devono navigare attraverso una molteplicità di norme aumentando il rischio di non conformità e di sanzioni.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

ABBONATI ORA

Sei già abbonato?

ACCEDI

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form

Logo_HouseofData_tutto_bianco_home1

CONTATTI

segreteria@imperialida.com

Via Santa Maria Valle, 3, 20123, Milano

Iscriviti al bollettino

Info4