Pubblicate le Linee Guida aggiornate sulla notifica di violazione dei dati personali e sull’individuazione dell’Autorità di controllo capofila.
Il 18 e 21 ottobre 2022, il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato le Linee Guida aggiornate sulla notifica di violazione dei dati personali ai sensi del GDPR e per l’individuazione dell’Autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento. Entrambe le linee guida sono in forma di bozza e sono aperte alla consultazione pubblica fino alla fine di novembre. Linee guida sulla notifica di violazione dei dati personali (cd. Data Breach). L’EDPB ha modificato le Linee Guida per chiarire che i titolari del trattamento e gli incaricati del trattamento non stabiliti nell’UE che subiscono una violazione dei dati personali che interessano gli interessati in diversi Stati membri dell’UE devono notificare a tutte le autorità di controllo in cui risiedono gli interessati. Non possono beneficiare dello “sportello unico” del GDPR, che consente ai titolari del trattamento e ai responsabili…
GDPR e controllo degli accessi
Nonostante siano trascorsi due anni e mezzo dalla definitiva entrata in vigore del GDPR, ancora molte aziende consentono l’accesso ai dati senza prestare la necessaria attenzione. Il GDPR richiede ai Titolari e Responsabili del trattamento di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (articolo 32). Ciò include necessariamente l’integrazione di misure di controllo degli accessi. All’interno delle organizzazioni che chiedono la mia consulenza mi capita di frequente di verificare che agli utenti è concesso l’accesso ai dispositivi aziendali con privilegi di amministratore e la motivazione che mi viene fornita è sempre la stessa: evitare complicazioni durante la giornata lavorativa. Ciò avviene nella maggioranza dei casi all’interno di organizzazioni di medie o piccole dimensioni che spesso al loro interno non hanno una figura professionale di riferimento per la gestione degli strumenti informatici, quindi per non dover ricorrere ad un fornitore esterno…