Pillola 6

Le violazioni

I dati, inclusi quelli personali,  sono un patrimonio aziendale che deve essere protetto: è necessario quindi verificare costantemente la loro qualità e affidabilità e vigilare sui possibili tentativi di effrazione.

In caso di una violazione di dati personali è necessaria una pronta reazione di tutta l’organizzazione, allo scopo di limitare la perdita di informazioni, di scongiurarne un eventuale utilizzo illecito e, se del caso, di segnalare l’accaduto all’Autorità entro i termini previsti dalla legge.

Ciascuna organizzazione, tenendo conto della tecnologia utilizzata, delle categorie di dati gestiti e della loro numerosità, deve dotarsi di strumenti di controllo ed effettuare un monitoraggio interno allo scopo di prevenire o intercettare in tempi rapidi gli eventi sospetti.

Per reagire alla violazione in modo tempestivo ed efficace, è opportuno assegnare preventivamente responsabilità e compiti.

È necessario che tutte le componenti dell’organizzazione siano consapevoli dei comportamenti da tenere in caso di violazione e delle responsabilità di ciascuno, nonché delle modalità di comunicazione di accadimenti o fatti sospetti.

È opportuno fornire ai dipendenti chiare indicazioni in merito al canale da utilizzare (ad esempio un numero di telefono, un ufficio, un indirizzo e-mail) per segnalare un evento che necessita di essere indagato e quali siano le informazioni minimali da inserire nella comunicazione.

Gestione delle richieste degli interessati

L’organizzazione deve implementare i processi necessari a rispondere tempestivamente alle richieste degli interessati in merito all’esercizio dei loro diritti, secondo i termini di legge.

Le procedure, appositamente predisposte, dovranno contenere i criteri utilizzati per l’accertamento dell’identità del richiedente e per la valutazione della legittimità della richiesta nel caso, per esempio, questa sia fatta nell’interesse di un terzo (per esempio il genitore di un minore).

In funzione della tipologia della richiesta (relativa allo specifico diritto esercitato) si dovrà inoltre valutare se esistono i presupposti per procedere e si dovrà dare seguito alle stessa con azioni specifiche (cancellazione, rettifica, revoca del consenso, conferma dell’esistenza di dati personali del richiedente, eccetera).

Particolare attenzione è richiesta nel caso in cui il diritto esercitato – e esercitabile – sia quello relativo alla portabilità dei dati.

Il diritto alla portabilità è un nuovo diritto e le organizzazioni dovranno valutare quale sia il modo più efficace di ottemperare alla richiesta (modalità e formato di importazione ed esportazione di dati); a questo proposito, è opportuno vigilare su eventuali indicazioni che l’Autorità Garante potrebbe rilasciare su questo tema.

È opportuno tenere traccia delle richieste, anche a fini statistici e di valutazione interna, e documentarne l’evasione nei tempi prescritti.