Di seguito, una checklist operativa che ha lo scopo di fornire un supporto per l’esecuzione delle misure richieste dal GDPR qualora si verifichi un episodio di Data Breach.
Obiettivo
La Checklist che segue ha lo scopo di fornire un supporto per l’esecuzione delle misure richieste dal GDPR qualora si verifichi un episodio di Data Breach.
Operazioni preliminari
Normalmente si viene a conoscenza di un Data Breach attraverso una segnalazione che può avere sia origine interna (es. un attacco rilevato dal settore IT), sia esterna (es. segnalazione di un cliente). Pertanto, è necessario che la società sia dotata di presidi efficienti in grado di processare eventuali segnalazioni in tempi molto brevi.
Indicazioni essenziali
Se la società è dotata di una procedura per la gestione del data breach, la checklist dovrebbe essere utilizzata congiuntamente alla procedura. Si consiglia di coinvolgere nella gestione del data breach tutte le funzioni aziendali potenzialmente interessante, ivi compresi le funzioni legali e quelle IT.
Definizioni utili
Data breach: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile (“interessato”); una persona fisica identificabile è colui che può essere identificato, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
| wdt_ID | wdt_created_by | wdt_created_at | wdt_last_edited_by | wdt_last_edited_at | N. | ACTION | DESCRIZIONE | COMMENTO | STATUS |
|---|---|---|---|---|---|---|---|---|---|
| 1 | admin_dh | 28/02/2025 04:49 PM | admin_dh | 28/02/2025 04:49 PM | 1 | Segnalazione Data Breach | Identificare e processare la segnalazione del potenziale Data Breach ricevuta | ||
| 2 | admin_dh | 28/02/2025 04:49 PM | admin_dh | 28/02/2025 04:49 PM | 2 | Valutazione dell'evento | Effettuare la valutazione preliminare e provvedere alla creazione di un report data breach interno | [Raccogliere le informazioni circa l'evento occorso] | |
| 3 | admin_dh | 28/02/2025 04:49 PM | admin_dh | 28/02/2025 04:49 PM | 3 | Caratterizzazione dell'evento | Determinare se si tratta di un Personal Data Breach motivato con elementi di supporto | [Coinvolgere il DPO e il Referente Data Protection nei casi significativi] | |
| 4 | admin_dh | 28/02/2025 04:49 PM | admin_dh | 28/02/2025 04:49 PM | 4 | Predisposizione piano di azione | Determinare il piano di azione di gestione dell'evento in corso o concluso | [Coinvolgere eventuali altri soggetti con specifiche competenze tecnico/giuridiche ed eventualmente fornitori responsabili del trattamento] | |
| 5 | admin_dh | 28/02/2025 04:49 PM | admin_dh | 28/02/2025 04:49 PM | 5 | Definizione livello di gravità | Valutare il livello di gravità del Data Breach in basso, medio o alto indicando le relative conseguenze | [Stimare il potenziale del rischio associato ai diritti e libertà delle persone fisiche secondo la metodologia ENISA] | |
| 6 | admin_dh | 28/02/2025 04:49 PM | admin_dh | 28/02/2025 04:49 PM | 6 | Conferma livello di gravità | Confermare la valutazione del livello di gravità e comunicare l'esito al delegato del titolare del trattamento | [Coinvolgere il DPO e il Referente Data Protection nei casi significativi] | |
| 7 | admin_dh | 28/02/2025 04:49 PM | admin_dh | 28/02/2025 04:49 PM | 7 | Notifica al Garante | Provvedere entro 72 ore alla compilazione della notifica al Garante (nei casi di rischio medio o alto) | [Coinvolgere il DPO e il dipartimento legale] | |
| 8 | admin_dh | 28/02/2025 04:49 PM | admin_dh | 28/02/2025 04:49 PM | 8 | Comunicazione agli interessati | Informare gli interessati in caso di probabile rischio per i diritti e le libertà | [Scegliere i canali e le modalità più opportune] | |
| 9 | admin_dh | 28/02/2025 04:49 PM | admin_dh | 28/02/2025 04:49 PM | 9 | Registro data breach | Compilare il registro data breach in ogni sua sezione relativamente all'evento verificatosi | [Basarsi sulle informazioni contenute nel report data breach] | |
| 10 | admin_dh | 28/02/2025 04:49 PM | admin_dh | 28/02/2025 04:49 PM | 10 | Remediation plan | Predisporre e eseguire il piano di azioni correttive allo scopo di risolvere criticità | [Documentare le azioni correttive eseguite e i risultati conseguiti] |
