Art. 5 Principi applicabili al trattamento di dati personali
1. I dati personali sono:
(omissis)
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).
Art. 32 Sicurezza del trattamento
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare del trattamento e il Responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
(omissis)
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
(omissis)
L’enumerazione delle risorse digitali esposte su internet e degli asset compromessi forniti dal modulo Cyber Footprint e le funzionalità offerte dal modulo Cyber Risk Status consentono all’azienda di:
a) individuare misure idonee di prevenzione del rischio di trattamenti non autorizzati;
b) monitorare l’efficacia delle misure tecniche e organizzative attuate attraverso la valutazione del rischio effettuata a seguito dell’adozione delle nuove misure di sicurezza. L’adozione degli strumenti sopra menzionati agevola la dimostrazione della conformità alle prescrizioni organizzative e tecniche richieste dalla norma.
Art. 28 Responsabile del trattamento
1. Qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
(omissis)
Gli strumenti messi a disposizione da Joshua consentono al Titolare, in fase precontrattuale e durante l’esercizio del contratto, di valutare il rischio di vulnerabilità di terze parti e quindi anche del soggetto che intende nominare Responsabile del trattamento. Tali funzionalità permettono di verificare che il Responsabile possieda le caratteristiche per garantire un trattamento conforme agli standard del Regolamento nonché alle istruzioni impartite dal Titolare. Tale valutazione, in caso di violazione dei dati ascrivibile al Responsabile del trattamento, costituisce un elemento spendibile per dimostrare all’Autorità Garante l’assenza di culpa in vigilando in capo al Titolare.
Art. 33 co.1
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Il modulo Data Breach Detector fornisce immediata consapevolezza di ogni violazione, consentendo al titolare del trattamento di notificare tempestivamente tale evento all’Autorità Garante.
Art. 33 co.5
Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.
Le violazioni dei dati personali riscontrate dal modulo Data Breach Detector vengono archiviate per essere disponibili ai fini interni e per le dovute ispezioni dell’Autorità Garante.
Art. 33 Notifica di una violazione dei dati personali all’autorità di controllo
(omissis)
4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
Art. 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie
(omissis)
2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
(omissis)
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
(omissis)
La conoscenza tempestiva di una violazione dei dati personali consente all’azienda non solo di intervenire immediatamente, ma anche di comunicare, ove lo ritenga opportuno, tale circostanza all’Autorità di controllo. La comunicazione tempestiva della violazione, anche parziale (prima notifica) potrebbe essere un elemento valutato positivamente dall’Autorità.