General Data Protection Regulation, Regulation (EU) 2016/679

Art.

5 co.1 lett. f

I dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

L’enumerazione delle risorse digitali esposte su internet e degli asset compromessi forniti dal modulo Cyber Footprint consente all’azienda di individuare misure idonee di prevenzione del rischio di trattamenti non autorizzati. La valutazione del rischio effettuata a seguito dell’adozione delle nuove misure di sicurezza permette di verificare l’efficacia di quanto implementato.

Art.

5 co.2

Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).

L’adozione degli strumenti sopra menzionati agevola la dimostrazione della conformità alle prescrizioni organizzative e tecniche richieste dalla norma.

Art.

28

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato

Gli strumenti messi a disposizione da Joshua consentono di valutare il rischio di vulnerabilità di terze parti e quindi anche del Responsabile del trattamento designato. Tale valutazione, in caso di violazione dei dati ascrivibile al Responsabile del trattamento, costituisce un elemento spendibile per dimostrare all’Autorità Garante l’assenza di culpa in eligendo e in vigilando.

Art.

32 co.1 lett b) d)

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il modulo Cyber Risk Status consente di valutare l’efficacia delle misure tecniche ed organizzative adottate tramite un monitoraggio continuo delle informazioni di rischio associate alle risorse esposte.

Art.

32 co.2

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Vedi punto precedente

Art.

33 co.1

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

Il modulo Data Breach Detector fornisce immediata consapevolezza di ogni violazione, consentendo al titolare del trattamento di notificare tempestivamente tale evento all’Autorità Garante.

Art.

33 co.5

Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

Le violazioni dei dati personali riscontrate dal modulo Data Breach Detector vengono archiviate per essere disponibili ai fini interni e per le dovute ispezioni dell’Autorità Garante.

Art.

Art. 83 c0.2 lett. H)

2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi: h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

La conoscenza tempestiva di una violazione dei dati personali consente all’azienda non solo di intervenire immediatamente, ma anche di comunicare, ove lo ritenga opportuno, tale circostanza all’autorità di controllo. La comunicazione preventiva costituisce un elemento valutato positivamente dall’Autorità ove dovesse propendere per l’irrogazione di una sanzione amministrativa.