Procedura di segnalazione in caso di violazione della sicurezza

Le aziende svizzere dovrebbero introdurre una procedura per segnalare violazioni della sicurezza dei dati. MyRight spiega come!

Risposta dettagliata

Cosa fare in caso di violazione dei dati?

Durante l’elaborazione dei dati può succedere che riservatezza, integrità o disponibilità vengano compromesse e che, di conseguenza, i dati vadano persi o vengano cancellati, modificati, divulgati oppure resi accessibili a soggetti non autorizzati. Assicurati che in azienda sia designata una persona responsabile per casi di questo tipo e che siano definiti processi per inviarle informazioni a riguardo. La dinamica deve essere documentata per intero, conservando il relativo materiale. In determinate circostanze, la persona responsabile sarà tenuta a segnalare immediatamente la violazione della sicurezza dei dati all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). 


Quando procedere a una segnalazione?

Non tutte le violazioni della sicurezza dei dati devono essere segnalate. In linea di massima vanno notificati quei casi che potrebbero comportare rischi elevati per la personalità o i diritti fondamentali della persona interessata. Va dunque valutato sempre il singolo caso, basandosi sul modello di valutazione d'impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA). In tal senso va valutata la gravità di possibili conseguenze e la probabilità che queste si presentino. 


Chi deve essere informato?

  • Se si verifica un caso soggetto a obbligo di segnalazione, è necessario informare quanto prima l’IFPDT dell’accaduto. A riguardo la legge non prescrive tempistiche precise, tuttavia l’evento va notificato quando risulta chiaro di che tipo di violazione si tratta, quali sono le possibili conseguenze e che misure sono previste.
  • Vanno inoltre informate le persone interessate qualora si renda necessario per la loro tutela, ad esempio se va modificata una password. Tale obbligo sussiste anche nel caso in cui la segnalazione sia richiesta dall’IFPDT.

 

Sanzioni

Se l’obbligo di notifica all’IFPDT non viene rispettato, la nuova legge sulla protezione dei dati (revLPD) non prevede alcuna sanzione penale. Diverso è però se il caso rientra nell’ambito di applicazione del Regolamento generale sulla protezione dei dati (RGPD). Ti consigliamo quindi di considerare seriamente questa disposizione e segnalare quanto prima eventuali violazioni.


Altri consigli legali e modelli in materia di protezione dei dati