In caso di data breach, la confusione regna sovrana: chi deve essere informato e quando? La risposta è cruciale per aziende e utenti. La notifica al Garante è obbligatoria, salvo improbabilità di rischio per gli interessati. La legge, attraverso gli articoli 33 e 34 del GDPR, stabilisce che le aziende devono notificare entro 72 ore dalla scoperta della violazione, senza eccezioni per festività o weekend. È un obbligo che richiede un'analisi rigorosa, spesso affidata a terzi, per valutare l'impatto del breach.
La comunicazione agli interessati è un altro tassello fondamentale. Deve avvenire quando c'è un rischio elevato per i diritti e le libertà delle persone fisiche. Questa comunicazione non solo informa ma suggerisce azioni per mitigare i danni, come cambiare le password. Tuttavia, se il titolare del trattamento ha già neutralizzato il rischio, la comunicazione può essere evitata. La trasparenza è la chiave: le aziende che scelgono di essere aperte e oneste spesso vedono un impatto reputazionale minore.
Il rischio reputazionale è sempre più rilevante. Le aziende che non proteggono adeguatamente i dati dei loro utenti rischiano non solo sanzioni economiche pesanti, ma anche una perdita di fiducia significativa. La gestione corretta di un data breach non è solo una questione legale, ma anche una strategia di mercato. La fiducia dei consumatori è un asset prezioso che può essere compromesso da una gestione inadeguata della privacy e della sicurezza.
In questa Puntata
Data breach: sai davvero cosa fare quando i tuoi dati sono a rischio?