{"id":3591,"date":"2023-12-19T06:45:54","date_gmt":"2023-12-19T06:45:54","guid":{"rendered":"https:\/\/www.consultingpb.com\/?p=3591"},"modified":"2023-12-19T06:45:56","modified_gmt":"2023-12-19T06:45:56","slug":"nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati","status":"publish","type":"post","link":"https:\/\/www.consultingpb.com\/en\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/","title":{"rendered":"Nuove linee guida dell’EDPB per gestire i casi di violazione dei dati"},"content":{"rendered":"\n
L’ambito della protezione dei dati personali \u00e8 stato recentemente rafforzato con l’adozione delle nuove linee guida 09\/2022 da parte del Comitato Europeo per la Protezione dei Dati (EDPB). <\/p>\n\n\n\n
Queste linee guida sostituiscono le precedenti direttive del Gruppo di lavoro ex articolo 29, implementate poco dopo l’entrata in vigore del GDPR, e sono state ufficialmente adottate il 28 marzo 2023, a seguito di un’ampia consultazione pubblica iniziata nell’ottobre dello scorso anno.<\/p>\n\n\n\n
Il processo di consultazione ha permesso di raccogliere e integrare nel documento finale numerosi feedback, in particolare per quanto riguarda il meccanismo del “one-stop-shop”. <\/p>\n\n\n\n
Tale meccanismo permette alle aziende che trattano dati in pi\u00f9 paesi dell’UE di notificare una violazione dei dati a una sola autorit\u00e0 di controllo, quella del paese in cui hanno stabilito la loro rappresentanza principale.<\/p>\n\n\n\n
Le modifiche introdotte hanno anche portato alla creazione di un nuovo Allegato VII, che include un diagramma di flusso operativo. <\/p>\n\n\n\n
Questo strumento \u00e8 progettato per guidare gli operatori attraverso i passaggi necessari in caso di violazione dei dati, fornendo un percorso chiaro e strutturato per la gestione delle notifiche di data breach.<\/p>\n\n\n\n
Le nuove linee guida rappresentano un passo importante verso il rafforzamento della responsabilit\u00e0 delle aziende e l’armonizzazione delle procedure di notifica in tutta l’Unione Europea, assicurando che sia le autorit\u00e0 che i cittadini siano adeguatamente informati in caso di incidenti che coinvolgono dati personali.<\/p>\n\n\n\n<\/figure>\n\n\n\n
L’EDPB ha inoltre approfondito la questione della compatibilit\u00e0 tra i ruoli di Data Protection Officer (DPO) e del rappresentante di un titolare del trattamento con sede fuori dall’UE. <\/p>\n\n\n\n
Secondo l’EDPB, queste due figure non possono coincidere, poich\u00e9 comporterebbero un conflitto di interessi. I<\/p>\n\n\n\n
l DPO ha il compito di sorvegliare la conformit\u00e0 alle normative sulla privacy all’interno dell’Unione Europea, mentre il rappresentante dell’entit\u00e0 extra-UE agisce come punto di contatto tra il titolare del trattamento e le autorit\u00e0 di supervisione europee.<\/p>\n\n\n\n
In caso di violazione dei dati, il responsabile della notifica rimane il titolare del trattamento. <\/p>\n\n\n\n
Tuttavia, il DPO pu\u00f2 essere coinvolto nel processo di notifica se questa attivit\u00e0 rientra tra i suoi compiti istituzionali.<\/p>\n\n\n\n
Questa distinzione mira a mantenere la trasparenza e l’indipendenza del DPO, assicurando che il suo ruolo di monitoraggio e consulenza non sia compromesso da altre responsabilit\u00e0 amministrative.<\/p>\n\n\n\n
Queste nuove linee guida rappresentano un passo importante verso una maggiore chiarezza nell’applicazione del GDPR, specialmente in un’era caratterizzata da un’intensificazione degli scambi commerciali digitali e da una crescente preoccupazione per la sicurezza dei dati personali. <\/p>\n\n\n\n
Con l’aggiornamento delle linee guida, l’EDPB non solo risponde alle esigenze di un contesto tecnologico in rapido cambiamento ma cerca anche di colmare le lacune interpretative che possono sorgere nell’applicazione pratica del regolamento, garantendo cos\u00ec una maggiore protezione dei diritti dei cittadini europei.<\/p>\n\n\n\n
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha recentemente fornito chiarimenti che aprono nuove prospettive sull’approccio da adottare in caso di violazioni dei dati personali. <\/p>\n\n\n\n
La loro ultima interpretazione suggerisce un approccio estremamente dettagliato nella gestione del registro dei data breach, elemento chiave nella documentazione della sicurezza informativa.<\/p>\n\n\n\n
Gli esempi forniti dall’EDPB illustrano l’entit\u00e0 delle violazioni che le aziende devono considerare.<\/p>\n\n\n\n
Un caso emblematico \u00e8 quello di un’interruzione temporanea dell’energia elettrica in un call center, che, seppur breve, impedisce ai clienti di esercitare i loro diritti di accesso ai dati. <\/p>\n\n\n\n
Questo tipo di incidente, bench\u00e9 minore e senza conseguenze dirette sulla compromissione dei dati, dovrebbe essere registrato nell’elenco delle violazioni.<\/p>\n\n\n\n
L’EDPB chiarisce, tuttavia, che non tutti gli incidenti richiedono la notifica agli enti regolatori o la comunicazione agli utenti interessati. Ad esempio, la compromissione di dati che sono gi\u00e0 di pubblico dominio o adeguatamente protetti da crittografia non necessita di tali procedure. <\/p>\n\n\n\n
Nonostante ci\u00f2, l’importanza di documentare ogni incidente nel registro dei data breach \u00e8 enfatizzata come prassi obbligatoria.<\/p>\n\n\n\n
Queste indicazioni delineano una politica di trasparenza e di responsabilit\u00e0 che le aziende devono seguire. <\/p>\n\n\n\n
Bench\u00e9 l’onere burocratico possa sembrare oneroso, l’intento \u00e8 quello di instaurare una cultura della privacy dove ogni minima interruzione diventa occasione per valutare e migliorare le misure di sicurezza esistenti.<\/p>\n\n\n\n
L’EDPB con queste linee guida non solo rafforza la necessit\u00e0 di una registrazione meticolosa e sistematica delle violazioni dei dati personali ma invita anche le aziende a riflettere sull’impatto che anche le pi\u00f9 piccole interruzioni possono avere sulla fiducia e sulla percezione della clientela. In questo modo, il registro dei data breach diventa uno strumento critico non solo per la conformit\u00e0 normativa ma anche come termometro della resilienza organizzativa in materia di privacy e protezione dei dati.<\/p>\n\n\n\n
Come precedentemente menzionato, non posso attingere a fonti esterne, ma posso sicuramente creare una riformulazione dell’articolo basandomi sul testo che hai fornito. Ecco come potrebbe essere riscritto:<\/p>\n\n\n\n
L’EDPB sottolinea l’importanza della “crittografia sicura” nel trattamento dei data breach<\/strong><\/h3>\n\n\n\n
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha messo in evidenza l’importanza vitale di una crittografia robusta per la protezione dei dati personali. <\/p>\n\n\n\n
In un mondo digitale dove la sicurezza delle informazioni \u00e8 costantemente sotto assedio, l’EDPB ha chiarito che solo una crittografia considerata “sicura” pu\u00f2 effettivamente rendere i dati inaccessibili a soggetti non autorizzati.<\/p>\n\n\n\n
Questo dettaglio non \u00e8 trascurabile: implica che i responsabili del trattamento dei dati devono possedere una conoscenza tecnica approfondita e aggiornata dei meccanismi di crittografia. <\/p>\n\n\n\n
Questo include la complessit\u00e0 delle password, la necessit\u00e0 di modificare le credenziali predefinite, la crittografia in modalit\u00e0 stand-by e l’aggiornamento costante degli strumenti crittografici per contrastare le minacce emergenti.<\/p>\n\n\n\n
In aggiunta, l’EDPB ha fornito ulteriori indicazioni sulle tempistiche critiche che regolano la gestione dei data breach. <\/p>\n\n\n\n
Un punto focale \u00e8 l’identificazione del momento preciso in cui iniziano a decorrere i termini per le notifiche obbligatorie: le aziende hanno 72 ore per informare l’autorit\u00e0 garante dopo aver scoperto una violazione, mentre la comunicazione agli interessati deve avvenire senza ingiustificato ritardo. <\/p>\n\n\n\n
Queste direttive enfatizzano la necessit\u00e0 di un’azione tempestiva e di procedure ben strutturate per rispondere efficacemente agli incidenti di sicurezza.<\/p>\n\n\n\n
\n\n\n\n
L’EDPB chiarisce: la consapevolezza tempestiva di una violazione dati \u00e8 cruciale per la conformit\u00e0 al GDPR<\/strong><\/h3>\n\n\n\n
In una recente dichiarazione, il Comitato Europeo per la Protezione dei Dati (EDPB) ha messo in luce l’importanza della prontezza con cui le organizzazioni devono gestire le violazioni dei dati personali, come previsto dall’articolo 33 del Regolamento Generale sulla Protezione dei Dati (GDPR).<\/p>\n\n\n\n
L’EDPB ha precisato che il conteggio del tempo per le notifiche di un data breach inizia non appena l’organizzazione “\u00e8 venuta a conoscenza” dell’incidente. <\/p>\n\n\n\n
Questo punto di partenza \u00e8 fondamentale: indica che non solo \u00e8 essenziale avere sistemi di rilevazione efficaci, ma che anche la cultura aziendale e l’organizzazione interna devono essere orientate verso una rapida identificazione e gestione delle problematiche di sicurezza.<\/p>\n\n\n\n
L’accento \u00e8 posto sulla responsabilit\u00e0 delle aziende di implementare misure di sicurezza proattive e procedure che garantiscano la scoperta tempestiva di eventuali violazioni. <\/p>\n\n\n\n
Un ritardo nella scoperta di un incidente non \u00e8 solo un segno di potenziali carenze nella sicurezza informatica, ma pu\u00f2 anche indicare una generale mancanza di conformit\u00e0 con i principi del GDPR, con possibili ripercussioni legali e sanzioni.<\/p>\n\n\n\n
In questo contesto, l’EDPB invita le organizzazioni a rivedere e rafforzare le loro politiche e procedure interne per assicurare che le violazioni dei dati siano riconosciute e gestite nel pi\u00f9 breve tempo possibile. <\/p>\n\n\n\n
Questa enfasi sulla prontezza non solo migliora la protezione dei dati personali ma segnala anche un impegno pi\u00f9 ampio verso la fiducia e la responsabilit\u00e0 nell’ecosistema digitale.<\/p>\n\n\n\n
<\/p>\n\n\n\n
\n\n\n\n
L’EDPB delinea i criteri di “consapevolezza” per le violazioni dei dati secondo il GDPR<\/strong><\/h3>\n\n\n\n
L’EDPB ha illustrato con esempi pratici il momento critico in cui il titolare del trattamento dei dati deve avviare le procedure di emergenza predisposte internamente. <\/p>\n\n\n\n
Un esempio significativo citato dall’EDPB riguarda la ricezione di una comunicazione da parte di un cliente che informa l’azienda di essere stato contattato da un individuo che si spaccia per il titolare del trattamento e che, presumibilmente, ha ottenuto un accesso non autorizzato ai dati.<\/p>\n\n\n\n
L’organizzazione \u00e8 ritenuta “a conoscenza” della violazione non appena sono disponibili evidenze sufficienti a supportare l’affermazione del cliente, ad esempio, dopo aver condotto un’indagine preliminare che conferma l’esistenza di un’intrusione nel sistema.<\/p>\n\n\n\n
Queste precisazioni dell’EDPB sottolineano l’importanza di un monitoraggio attento e di sistemi di allarme efficaci che permettano alle organizzazioni di riconoscere e reagire prontamente alle violazioni dei dati. <\/p>\n\n\n\n
La “consapevolezza” non si limita a semplici sospetti o segnalazioni non verificate, ma richiede una conferma basata su indagini immediate e concrete.<\/p>\n\n\n\n
L’EDPB ribadisce che la tempistica \u00e8 essenziale: una volta che il titolare del trattamento \u00e8 “a conoscenza” della violazione, i termini per le notifiche obbligatorie iniziano a decorrere. <\/p>\n\n\n\n
Questo implica che le aziende devono avere protocolli interni ben definiti e pronti ad essere attivati per rispettare i termini del GDPR e per gestire efficacemente qualsiasi incidente di sicurezza.<\/p>\n\n\n\n
Questo approccio proattivo non solo \u00e8 mandatario per la conformit\u00e0 normativa, ma rappresenta anche una prassi migliore per garantire la fiducia dei clienti e la resilienza dell’organizzazione di fronte alle minacce alla sicurezza dei dati personali.<\/p>\n\n\n\n
\n\n\n\n
un approccio stratificato alla valutazione del rischio<\/strong><\/h3>\n\n\n\n
Secondo l’EDPB, quando un titolare del trattamento si rende conto di un incidente che implica una compromissione dei dati personali, deve valutare immediatamente l’impatto potenziale sui diritti e le libert\u00e0 delle persone interessate. <\/p>\n\n\n\n
Questa valutazione determiner\u00e0 se l’evento richiede semplicemente una registrazione interna, una segnalazione alle autorit\u00e0 di controllo, o anche una comunicazione diretta agli individui colpiti.<\/p>\n\n\n\n
La profondit\u00e0 dell’analisi richiesta dall’EDPB comprende diversi fattori chiave:<\/p>\n\n\n\n
\n
La natura e la gravit\u00e0 della violazione.<\/li>\n\n\n\n
La tipologia e il volume dei dati interessati, con particolare attenzione ai dati sensibili o relativi a condanne penali.<\/li>\n\n\n\n
La probabilit\u00e0 che terzi non autorizzati possano identificare le persone i cui dati sono stati esposti.<\/li>\n\n\n\n
Le possibili ripercussioni negative per gli individui coinvolti.<\/li>\n\n\n\n
Le circostanze specifiche degli individui colpiti, come ad esempio nel caso di minori o soggetti vulnerabili.<\/li>\n\n\n\n
Le caratteristiche proprie del titolare del trattamento, come nel caso delle strutture sanitarie.<\/li>\n\n\n\n
Il numero totale di persone coinvolte nell’incidente.<\/li>\n<\/ul>\n\n\n\n
Al di l\u00e0 della valutazione del rischio immediato, l’EDPB sottolinea l’importanza di considerare azioni correttive a lungo termine per mitigare il rischio futuro e per evitare che incidenti simili si verifichino nuovamente.<\/p>\n\n\n\n
Questa enfasi su un approccio olistico al data breach rappresenta una chiara indicazione dell’EDPB sul fatto che la protezione dei dati personali non \u00e8 solo una questione di conformit\u00e0 normativa ma richiede una continua vigilanza e un impegno proattivo da parte delle organizzazioni.<\/p>\n\n\n\n
\n\n\n\n
Linee guida per una comunicazione efficace in caso di violazione dei dati personali<\/strong><\/h3>\n\n\n\n
Quando si verifica una violazione che comporta un rischio elevato per i diritti e le libert\u00e0 individuali, la normativa richiede che gli interessati vengano informati senza ingiustificato ritardo. <\/p>\n\n\n\n
La comunicazione deve essere diretta, utilizzando un linguaggio semplice e chiaro, evitando terminologie tecniche che potrebbero confondere piuttosto che chiarire la situazione.<\/p>\n\n\n\n
Gli elementi chiave da includere nella comunicazione sono:<\/p>\n\n\n\n
\n
La natura della violazione, spiegando in termini comprensibili cosa \u00e8 accaduto.<\/li>\n\n\n\n
I dati di contatto del Data Protection Officer (DPO) o di un altro punto di riferimento per ottenere ulteriori dettagli.<\/li>\n\n\n\n
Le probabili conseguenze che la violazione pu\u00f2 avere per gli individui coinvolti.<\/li>\n\n\n\n
Le misure gi\u00e0 adottate o in programma per mitigare i danni potenziali, fornendo anche consigli pratici agli interessati su come proteggersi.<\/li>\n<\/ul>\n\n\n\n
Tuttavia, si \u00e8 notato che in passato alcune entit\u00e0 hanno gestito queste comunicazioni in modo meno che ottimale, talvolta cercando di minimizzare l’incidente o di diluirlo in comunicazioni di routine come le newsletter. <\/p>\n\n\n\n
L’EDPB sottolinea che questo approccio non solo \u00e8 inadeguato ma anche non conforme al GDPR.<\/p>\n\n\n\n
Le informazioni relative a una violazione dei dati devono essere distinte e non devono essere camuffate in comunicazioni ordinarie.<\/p>\n\n\n\n
Inoltre, il mezzo utilizzato per informare gli interessati deve essere il pi\u00f9 efficace possibile. <\/p>\n\n\n\n
Mentre un comunicato stampa o un post su un blog aziendale potrebbero non essere sufficienti da soli, l\u2019EDPB raccomanda di utilizzare pi\u00f9 canali per assicurare che la comunicazione raggiunga il maggior numero possibile di persone coinvolte. <\/p>\n\n\n\n
Questo pu\u00f2 includere avvisi sui social media dell’azienda, annunci sul sito web e persino comunicazioni tramite la stampa.<\/p>\n\n\n\n
Per quanto riguarda la lingua della comunicazione, l’EDPB indica che dovrebbe essere quella normalmente usata nelle interazioni con i clienti. <\/p>\n\n\n\n
Tuttavia, se il data breach riguarda persone che non hanno interagito direttamente con il titolare del trattamento o residenti in altri stati membri dell’UE, allora \u00e8 necessario fornire la comunicazione in pi\u00f9 lingue per assicurare l’accessibilit\u00e0.<\/p>\n\n\n\n
<\/p>\n\n\n\n
\n\n\n\n
Il ruolo cruciale del DPO nella gestione dei data breach secondo le nuove linee guida dell’EDPB<\/strong><\/h3>\n\n\n\n
l’EDPB ha delineato il ruolo consultivo e di monitoraggio che il DPO deve assumere in tali circostanze, sottolineando la sua funzione essenziale nel garantire la conformit\u00e0 al Regolamento Generale sulla Protezione dei Dati (GDPR).<\/p>\n\n\n\n
La figura del DPO si rivela essere un pilastro per il titolare del trattamento, specialmente quando si verifica una violazione dei dati. <\/p>\n\n\n\n
In questi casi, il DPO \u00e8 chiamato a fornire consulenza strategica, assicurandosi che tutte le azioni intraprese rispettino le normative vigenti. Inoltre, il DPO deve essere coinvolto nelle valutazioni di impatto relative ai trattamenti di dati che possono essere soggetti a data breach.<\/p>\n\n\n\n
Una delle funzioni chiave del DPO \u00e8 quella di agire come punto di collegamento tra il titolare del trattamento e l’autorit\u00e0 garante. <\/p>\n\n\n\n
Quando si verifica una violazione dei dati, il titolare \u00e8 tenuto a fornire i dettagli di contatto del DPO nelle comunicazioni alla autorit\u00e0, affinch\u00e9 quest’ultimo possa facilitare ulteriori discussioni e chiarimenti.<\/p>\n\n\n\n
L’EDPB ha inoltre chiarito che il DPO pu\u00f2 legittimamente essere incaricato di gestire il registro dei data breach. Sebbene questa responsabilit\u00e0 non rientri tra le mansioni “ordinarie” del<\/p>\n\n\n\n
<\/p>\n\n\n\n
\n\n\n\n
Il caso dell’ASL Napoli 3 Sud<\/h3>\n\n\n\n
Un recente provvedimento dell’Autorit\u00e0 Garante per la protezione dei dati personali ha stabilito un nuovo standard nel trattamento dei dati sensibili, infliggendo una multa di 30.000 euro all’ASL Napoli 3 Sud.<\/p>\n\n\n\n
Il provvedimento n. 426 del 28 settembre 2023 rappresenta un punto di svolta nella tutela della privacy degli italiani, sottolineando la cruciale importanza del rispetto dei principi del GDPR.<\/p>\n\n\n\n
Il nodo centrale della questione risiede nella violazione del principio di “privacy by design”, un concetto fondamentale nell’ambito del GDPR che impone l’integrazione della protezione dei dati sin dalla fase di progettazione di sistemi e pratiche. <\/p>\n\n\n\n
L’attacco ransomware che ha colpito l’ASL ha messo in luce una serie di lacune nelle misure di sicurezza adottate, con la conseguente esposizione dei dati sensibili degli assistiti.<\/p>\n\n\n\n
Questo episodio non solo sottolinea l’importanza di una solida infrastruttura di sicurezza informatica ma funge anche da monito per altre organizzazioni sanitarie e non, le quali sono chiamate a rivedere e rafforzare le proprie politiche di protezione dei dati. <\/p>\n\n\n\n
La sanzione inflitta all’ASL Napoli 3 Sud rappresenta un chiaro segnale da parte delle autorit\u00e0 di controllo: la non conformit\u00e0 ai principi di privacy by design e by default non verr\u00e0 tollerata.<\/p>\n\n\n\n
L’incidente serve quindi come un campanello d’allarme per tutte le entit\u00e0 che trattano dati personali: \u00e8 imperativo adottare un approccio proattivo alla privacy, integrando misure di sicurezza avanzate e continuamente aggiornate per prevenire incidenti che possano compromettere la riservatezza e l’integrit\u00e0 dei dati degli utenti.<\/p>\n\n\n\n
In seguito a un’approfondita analisi del data breach notificato dal Garante della privacy, emerge un quadro preoccupante per la ASL Napoli 3 Sud. <\/p>\n\n\n\n
L’ente ha subito un grave attacco informatico, un ransomware che ha messo in ginocchio l’infrastruttura IT dell’organizzazione, con conseguenze dirette sull’erogazione dei servizi e sulla riservatezza dei dati di migliaia di persone.<\/p>\n\n\n\n
L’attacco \u00e8 stato perpetrato tramite un cryptolocker, che ha criptato i dati aziendali e reso inaccessibili gli applicativi essenziali per il funzionamento dell’ASL. <\/p>\n\n\n\n
Non solo i server centrali, ma anche i data center secondari sono stati colpiti, con ripercussioni sui servizi critici come il Pronto Soccorso e la diagnostica per immagini. Bench\u00e9 alcuni servizi esterni siano rimasti operativi, il blocco dei sistemi interni ha rappresentato un duro colpo per l’ente.<\/p>\n\n\n\n
Le indagini forensi hanno rivelato che l’incursione \u00e8 stata facilitata dall’uso di credenziali di personale non tecnico, trovate nel dark web e utilizzate per accedere al sistema tramite VPN, ottenendo privilegi amministrativi. <\/p>\n\n\n\n
Questa catena di eventi ha portato il Garante a infliggere una sanzione di 30.000 euro per la mancata adesione ai principi di privacy by design imposti dal GDPR.<\/p>\n\n\n\n
Il Garante ha evidenziato che l’ASL non ha rispettato il principio della “privacy by design”, un concetto fondamentale del Regolamento Generale sulla Protezione dei Dati (GDPR). <\/p>\n\n\n\n
In particolare, \u00e8 stato rilevato che i sistemi VPN dell’ente richiedevano soltanto un’autenticazione basata su username e password, senza ulteriori misure di sicurezza, come l’autenticazione a pi\u00f9 fattori, che avrebbero potuto prevenire accessi non autorizzati.<\/p>\n\n\n\n
\n\n\n\n
Il principio di “privacy by design”<\/h3>\n\n\n\n
Il principio di “privacy by design”, che prevede l’integrazione della protezione dei dati fin dalla fase di progettazione di qualsiasi sistema o processo, \u00e8 stato al centro della violazione accertata dal Garante. <\/p>\n\n\n\n
L’ASL Napoli 3 Sud \u00e8 stata ritenuta responsabile per non aver implementato adeguate misure di sicurezza, lasciando esposti i dati personali e sanitari di oltre 840.000 individui, tra assistiti e dipendenti, agli attacchi degli hacker.<\/p>\n\n\n\n
Questo caso enfatizza l’importanza di un approccio proattivo alla protezione dei dati, in cui la sicurezza non \u00e8 un add-on ma un elemento intrinseco del design di qualsiasi sistema che tratta dati personali. <\/p>\n\n\n\n
Il messaggio inviato \u00e8 chiaro: le organizzazioni devono adottare misure preventive e non solo reattive per garantire la sicurezza dei dati personali.<\/p>\n\n\n\n
La vicenda \u00e8 emblematica e mette in evidenza la necessit\u00e0 imperativa per le organizzazioni, soprattutto nel settore sanitario, di adottare misure proattive per la sicurezza dei dati. <\/p>\n\n\n\n
La sanzione imposta serve da monito: la protezione dei dati personali non \u00e8 solo una responsabilit\u00e0 legale, ma una priorit\u00e0 assoluta nell’era digitale.<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/p>\n\n\n\n
\n\n\n\n
L’accertamento<\/strong><\/h3>\n\n\n\n
Dopo un’indagine meticolosa, l’Autorit\u00e0 Garante per la protezione dei dati personali ha inflitto all’ASL Napoli 3 Sud una sanzione di 30.000 euro. <\/p>\n\n\n\n
Questa decisione \u00e8 stata presa in seguito alla constatazione di significative mancanze nelle misure di sicurezza implementate dall’ente, che hanno portato a una violazione dei dati personali dei pazienti.<\/p>\n\n\n\n
Un’ulteriore lacuna \u00e8 stata identificata nella segmentazione delle reti: l’assenza di quest’ultima ha agevolato la diffusione del malware all’interno dell’intera infrastruttura informatica dell’ASL. <\/p>\n\n\n\n
Questo ha rappresentato un rischio ancora maggiore considerando che tra i dati compromessi vi erano informazioni sensibili sulla salute dei pazienti.<\/p>\n\n\n\n
<\/p>\n\n\n\n
\n\n\n\n
Nuove Prospettive di Risarcimento per le Vittime di Data Breach: L’Opinione dell’Avvocato Generale UE<\/strong><\/h3>\n\n\n\n
In una recente svolta giuridica, l’Avvocato Generale presso la Corte di Giustizia dell’Unione Europea ha aperto la strada a potenziali risarcimenti per danni immateriali subiti a seguito di violazioni della sicurezza dei dati, noti come “data breach”. <\/p>\n\n\n\n
Questo orientamento giurisprudenziale sostiene che le vittime di cyberattacchi possano avanzare richieste di risarcimento nei confronti delle aziende violate, indipendentemente dall’effettivo uso illecito dei dati personali esfiltrati.<\/p>\n\n\n\n
Il dibattito si \u00e8 acceso in seguito ad un attacco informatico che ha coinvolto una nota piattaforma di trading online. <\/p>\n\n\n\n
Due investitori, dopo aver affidato i propri dati personali – inclusi dettagli sensibili e copie digitali delle carte d’identit\u00e0 – alla societ\u00e0 per l’apertura di depositi titoli, hanno visto le loro informazioni rubate da malintenzionati. <\/p>\n\n\n\n
Sebbene non ci siano prove di un uso fraudolento dei dati trafugati, i danneggiati hanno avviato un’azione legale richiedendo indennizzi per il disagio e la preoccupazione derivanti dal furto dei loro dati.<\/p>\n\n\n\n
La questione centrale sollevata di fronte alla Corte UE riguardava l’interpretazione del GDPR, in particolare se il diritto al risarcimento dei danni immateriali fosse subordinato all’uso effettivo dei dati sottratti o se il semplice furto di dati personali, che potenzialmente espone al rischio l’identit\u00e0 degli interessati, fosse sufficiente a giustificare tale diritto.<\/p>\n\n\n\n
Contrariamente a quanto potrebbe suggerire una lettura superficiale dei “considerando” del GDPR, che menzionano prevalentemente il furto di identit\u00e0, l’Avvocato Generale ha chiarito che vi \u00e8 una distinzione tra furto di dati e furto di identit\u00e0. <\/p>\n\n\n\n
Mentre quest’ultimo comporta l’utilizzo effettivo dei dati rubati, il furto di dati personali, anche senza un successivo abuso, pu\u00f2 costituire di per s\u00e9 un danno immateriale e dare luogo alla possibilit\u00e0 di risarcimento.<\/p>\n\n\n\n
Se questa interpretazione sar\u00e0 condivisa dalla Corte di Giustizia dell’UE, ci\u00f2 significherebbe un ampliamento significativo della protezione dei dati personali. <\/p>\n\n\n\n
Le vittime di data breach non dovrebbero pi\u00f9 dimostrare che i loro dati sono stati usati in modo improprio per ottenere un risarcimento; sarebbe sufficiente dimostrare che i dati sono stati rubati e che questo ha causato un danno immateriale come stress o ansia.<\/p>\n\n\n\n
In conclusione, le cause riunite C-182\/22 e C-189\/22 potrebbero stabilire un importante precedente nel diritto della privacy e della protezione dei dati, rafforzando la posizione degli individui nei confronti delle aziende che detengono e gestiscono i loro dati personali.<\/p>\n\n\n\n
L’ordinanza n. 27189 emessa dalla Corte di Cassazione il 22 settembre 2023 <\/h3>\n\n\n\n
L’ordinanza n. 27189 emessa dalla Corte di Cassazione il 22 settembre 2023 ha affrontato una questione importante riguardante le sanzioni previste dal GDPR, il regolamento europeo sulla protezione dei dati personali. <\/p>\n\n\n\n
In parole semplici, la Corte di Cassazione ha stabilito alcuni principi fondamentali per determinare l’ammontare e l’applicazione delle sanzioni in caso di violazione delle norme sulla privacy. <\/p>\n\n\n\n
Questi principi sono volti a garantire che le multe siano giuste, proporzionate e sufficientemente severe da scongiurare future infrazioni.<\/p>\n\n\n\n
Tra i criteri chiave identificati dalla Corte, vi sono:<\/p>\n\n\n\n
\n
La seriet\u00e0 della violazione: quanto \u00e8 grave l’infrazione e quali sono le sue conseguenze?<\/li>\n\n\n\n
La durata della violazione: per quanto tempo si \u00e8 protratta la situazione non conforme al GDPR?<\/li>\n\n\n\n
Il comportamento dell’ente che ha commesso la violazione: c’\u00e8 stata collaborazione con le autorit\u00e0? Sono state prese misure per limitare il danno?<\/li>\n<\/ol>\n\n\n\n
Questi criteri servono a guidare le autorit\u00e0 nella decisione delle sanzioni, assicurando che ogni caso venga valutato individualmente per evitare punizioni ingiuste o sproporzionate. <\/p>\n\n\n\n
L’approccio adottato dalla Corte di Cassazione riflette l’intento del GDPR di proteggere i dati personali degli individui e di responsabilizzare chi li gestisce.<\/p>\n\n\n\n
L’importanza di questa ordinanza risiede nel fatto che fornisce un quadro chiaro per l’applicazione delle sanzioni, contribuendo a creare un ambiente pi\u00f9 sicuro per i dati personali dei cittadini europei.<\/p>\n\n\n\n
In sostanza, l’articolo 83 del GDPR stabilisce che quando si decide la punizione per chi ha violato le regole sulla privacy, ogni caso deve essere valutato singolarmente. <\/p>\n\n\n\n
Le multe devono essere giuste, proporzionate al tipo di violazione e abbastanza severe da scoraggiare chiunque dal commettere lo stesso errore in futuro.<\/p>\n\n\n\n
Ci sono anche altri elementi da prendere in considerazione, come se l’azienda ha gi\u00e0 violato le regole in passato, quanto ha collaborato con le autorit\u00e0 per risolvere il problema, quali tipi di dati personali sono stati coinvolti e se l’azienda ha seguito i codici di condotta o ottenuto certificazioni approvate che mostrano il loro impegno a proteggere i dati personali.<\/p>\n\n\n\n
In conclusione, l’ordinanza della Corte di Cassazione enfatizza l’importanza di una valutazione attenta e dettagliata in ogni caso di violazione del GDPR, assicurando che le sanzioni siano giuste e mirate non solo a punire ma anche a prevenire future violazioni della privacy.<\/p>\n\n\n\n
Motivazioni per la variazione nella quantificazione delle sanzioni in diversi contesti<\/h3>\n\n\n\n
Innanzitutto, la Corte ha stabilito che le sanzioni per la violazione delle norme sulla privacy devono essere calibrate in base a diversi fattori.<\/p>\n\n\n\n
Tra questi, la gravit\u00e0 dell’impatto sulla privacy degli individui \u00e8 fondamentale: una violazione che coinvolge poche persone e dati non particolarmente sensibili potrebbe comportare una sanzione minore rispetto a una che colpisce molti individui e dati delicati, come quelli relativi alla salute.<\/p>\n\n\n\n
L’ordinanza ha messo in luce due casi specifici: l’Universit\u00e0 e-Campus, che \u00e8 stata multata per 75.000 euro per non aver raccolto adeguatamente il consenso e non aver risposto alle richieste di cancellazione dei dati, e la ASL Napoli 3 Sud, sanzionata per 30.000 euro a seguito di un grave data breach che ha coinvolto dati sanitari sensibili. La differenza nelle multe riflette la diversa natura e gravit\u00e0 delle violazioni.<\/p>\n\n\n\n
La Corte ha evidenziato l’importanza della trasparenza e della cooperazione con le autorit\u00e0 di regolamentazione. <\/p>\n\n\n\n
L’Universit\u00e0 e-Campus \u00e8 stata poco collaborativa con il Garante per la privacy, che \u00e8 l’ente che si assicura che le regole sulla protezione dei dati personali siano rispettate. Il Garante ha provato a contattare l’Universit\u00e0 due volte, usando gli indirizzi email che l’Universit\u00e0 stessa aveva dato per queste comunicazioni, incluso quello del responsabile della protezione dei dati. <\/p>\n\n\n\n
Ma l’Universit\u00e0 non ha risposto alle richieste, quindi il Garante ha dovuto chiedere aiuto alla Guardia di Finanza per mandare le notifiche ufficiali e le richieste di informazioni.<\/p>\n\n\n\n
Quando l’Universit\u00e0 \u00e8 stata chiamata a spiegare perch\u00e9 non aveva risposto, non ha dato giustificazioni convincenti. <\/p>\n\n\n\n
Anche durante un incontro ufficiale dove l’Universit\u00e0 avrebbe potuto difendersi dalle accuse, il legale dell’Universit\u00e0 ha detto che forse non avevano risposto alla prima richiesta per un semplice errore e che avrebbero controllato meglio la situazione. <\/p>\n\n\n\n
Tuttavia, non hanno mai fatto sapere il risultato di queste verifiche e non hanno spiegato perch\u00e9 non hanno risposto nemmeno alla seconda richiesta di informazioni.<\/p>\n\n\n\n
In sintesi, l’Universit\u00e0 non ha seguito le regole sulla privacy e non ha collaborato con il Garante quando \u00e8 stata contattata per chiarire la situazione. Questo comportamento \u00e8 importante perch\u00e9 mostra un mancato rispetto delle norme che proteggono i nostri dati personali.<\/p>\n\n\n\n
.Al contrario, la ASL Napoli 3 Sud ha collaborato attivamente con il Garante, fornendo chiarimenti e informazioni sul data breach.<\/p>\n\n\n\n
Durante le indagini, l’ASL ha collaborato fornendo tutti i dettagli richiesti. Ha spiegato che l’attacco \u00e8 avvenuto perch\u00e9 degli hacker hanno usato delle credenziali di accesso di un impiegato, trovate sul dark web, per entrare nel sistema informatico dall’estero attraverso una VPN, e poi hanno ottenuto privilegi da amministratore.<\/p>\n\n\n\n
Per quanto riguarda le misure adottate per proteggere i dati e far fronte a incidenti simili, l’ASL ha ammesso di non avere una procedura formale. I backup dei dati venivano fatti completamente una volta a settimana e in modo incrementale negli altri giorni. Inoltre, al momento dell’attacco, l’ASL non aveva un piano di emergenza per i servizi critici. <\/p>\n\n\n\n
Dopo l’incidente, per\u00f2, ha sviluppato un piano di ripristino che \u00e8 stato approvato dalla direzione.<\/p>\n\n\n\n
Per capire meglio cosa \u00e8 successo e come risolvere il problema, l’Azienda sanitaria ha chiesto aiuto a Leonardo S.p.A. che ha esaminato l’incidente e ha dato consigli su come migliorare la sicurezza, aggiornando il piano di disaster recovery per assicurare che l’azienda possa continuare a lavorare anche dopo disastri informatici.<\/p>\n\n\n\n
Inoltre, la ASL ha messo in atto nuove VPN, che sono dei tunnel sicuri per collegarsi alla rete aziendale, con sistemi di doppia verifica per evitare accessi non autorizzati[2].<\/p>\n\n\n\n
Per quanto riguarda la comunicazione dell’accaduto, la ASL Napoli 3 Sud ha informato i pazienti e i dipendenti dell’accaduto in modi diversi: alcuni per lettera, altri per email, a seconda della gravit\u00e0 della situazione e del tipo di dati coinvolti[3].<\/p>\n\n\n\n
Le misure prese dopo l’incidente dalla ASL per ridurre i danni e prevenire futuri attacchi sono state viste positivamente dal Garante, che ha anche apprezzato la collaborazione dell’azienda durante le indagini.<\/p>\n\n\n\n
Come si notifica un data breach<\/h3>\n\n\n\n
Se la violazione dei dati non \u00e8 grave e non mette a rischio la privacy delle persone, allora non c’\u00e8 bisogno di dirlo alle autorit\u00e0. Ma se il rischio c’\u00e8, il titolare deve avvisare l’Autorit\u00e0 di controllo entro 72 ore da quando scopre il problema. Se non lo fa in tempo, deve spiegare perch\u00e9 \u00e8 in ritardo.<\/p>\n\n\n\n
Nella notifica deve dire che tipo di dati sono a rischio, quante persone sono coinvolte, e quali misure sta prendendo per limitare i danni. Se non ha tutte le informazioni subito, pu\u00f2 mandare una notifica iniziale e poi aggiornarla pi\u00f9 tardi.<\/p>\n\n\n\n
E se il rischio \u00e8 alto, oltre a dire tutto questo all’Autorit\u00e0 di controllo, deve anche informare direttamente le persone che potrebbero essere state colpite. Deve farlo subito e spiegare in modo chiaro e semplice cosa \u00e8 successo, quali potrebbero essere le conseguenze e cosa sta facendo per risolvere il problema.<\/p>\n\n\n\n
In pratica, se sei responsabile di dati personali e succede qualcosa che mette a rischio la privacy delle persone, la legge ti obbliga a prendere sul serio la situazione e a fare del tuo meglio per proteggere tutti quelli che potrebbero essere stati colpiti.<\/p>\n\n\n\n<\/figure>\n","protected":false},"excerpt":{"rendered":"
L’ambito della protezione dei dati personali \u00e8 stato recentemente rafforzato con l’adozione delle nuove linee guida 09\/2022 da parte del Comitato Europeo per la Protezione dei Dati (EDPB). Queste linee guida sostituiscono le precedenti direttive del Gruppo di lavoro ex articolo 29, implementate poco dopo l’entrata in vigore del GDPR, e sono state ufficialmente adottate […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44,1],"tags":[334,330,335,336,333,331,332],"class_list":["post-3591","post","type-post","status-publish","format-standard","hentry","category-diritto-rovescio","category-non-categorizzato","tag-cybersecurity-settore-medico","tag-data-breach-sanita","tag-gdpr-e-sanita","tag-notifica-violazione-dati","tag-protezione-dati-salute","tag-sicurezza-dati-sanitari","tag-violazione-dati-personali"],"yoast_head":"\n
Nuove linee guida dell'EDPB per gestire i casi di violazione dei dati - PB Consulting<\/title>\n<meta name=\"description\" content=\"Scopri come i data breach stanno influenzando il settore sanitario e quali misure sono essenziali per salvaguardare la privacy dei pazienti. Approfondisci le normative GDPR applicate alla sicurezza dei dati medici e le migliori pratiche per la gestione del rischio e la conformit\u00e0.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Nuove linee guida dell'EDPB per gestire i casi di violazione dei dati\" \/>\n<meta property=\"og:description\" content=\"Scopri come i data breach stanno influenzando il settore sanitario e quali misure sono essenziali per salvaguardare la privacy dei pazienti. Approfondisci le normative GDPR applicate alla sicurezza dei dati medici e le migliori pratiche per la gestione del rischio e la conformit\u00e0.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/\" \/>\n<meta property=\"og:site_name\" content=\"PB Consulting\" \/>\n<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/alberto.bozzo.9\" \/>\n<meta property=\"article:published_time\" content=\"2023-12-19T06:45:54+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-12-19T06:45:56+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2023\/12\/OIG-13.jpeg\" \/>\n\t<meta property=\"og:image:width\" content=\"540\" \/>\n\t<meta property=\"og:image:height\" content=\"540\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Alberto Bozzo\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alberto Bozzo\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"25 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/\",\"url\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/\",\"name\":\"Nuove linee guida dell'EDPB per gestire i casi di violazione dei dati - PB Consulting\",\"isPartOf\":{\"@id\":\"https:\/\/www.consultingpb.com\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/dnewpydm90vfx.cloudfront.net\/wp-content\/uploads\/2023\/04\/word-image-64614-1.png.webp\",\"datePublished\":\"2023-12-19T06:45:54+00:00\",\"dateModified\":\"2023-12-19T06:45:56+00:00\",\"author\":{\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\"},\"description\":\"Scopri come i data breach stanno influenzando il settore sanitario e quali misure sono essenziali per salvaguardare la privacy dei pazienti. Approfondisci le normative GDPR applicate alla sicurezza dei dati medici e le migliori pratiche per la gestione del rischio e la conformit\u00e0.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/#primaryimage\",\"url\":\"https:\/\/dnewpydm90vfx.cloudfront.net\/wp-content\/uploads\/2023\/04\/word-image-64614-1.png.webp\",\"contentUrl\":\"https:\/\/dnewpydm90vfx.cloudfront.net\/wp-content\/uploads\/2023\/04\/word-image-64614-1.png.webp\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.consultingpb.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Nuove linee guida dell’EDPB per gestire i casi di violazione dei dati\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.consultingpb.com\/#website\",\"url\":\"https:\/\/www.consultingpb.com\/\",\"name\":\"PB Consulting\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.consultingpb.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\",\"name\":\"Alberto Bozzo\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"caption\":\"Alberto Bozzo\"},\"sameAs\":[\"https:\/\/www.consultingpb.com\/\",\"https:\/\/www.facebook.com\/alberto.bozzo.9\",\"https:\/\/www.instagram.com\/ab_dirittorovescio\/\",\"https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/\"],\"url\":\"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Nuove linee guida dell'EDPB per gestire i casi di violazione dei dati - PB Consulting","description":"Scopri come i data breach stanno influenzando il settore sanitario e quali misure sono essenziali per salvaguardare la privacy dei pazienti. Approfondisci le normative GDPR applicate alla sicurezza dei dati medici e le migliori pratiche per la gestione del rischio e la conformit\u00e0.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/","og_locale":"en_US","og_type":"article","og_title":"Nuove linee guida dell'EDPB per gestire i casi di violazione dei dati","og_description":"Scopri come i data breach stanno influenzando il settore sanitario e quali misure sono essenziali per salvaguardare la privacy dei pazienti. Approfondisci le normative GDPR applicate alla sicurezza dei dati medici e le migliori pratiche per la gestione del rischio e la conformit\u00e0.","og_url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/","og_site_name":"PB Consulting","article_author":"https:\/\/www.facebook.com\/alberto.bozzo.9","article_published_time":"2023-12-19T06:45:54+00:00","article_modified_time":"2023-12-19T06:45:56+00:00","og_image":[{"width":540,"height":540,"url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2023\/12\/OIG-13.jpeg","type":"image\/jpeg"}],"author":"Alberto Bozzo","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Alberto Bozzo","Est. reading time":"25 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/","url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/","name":"Nuove linee guida dell'EDPB per gestire i casi di violazione dei dati - PB Consulting","isPartOf":{"@id":"https:\/\/www.consultingpb.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/#primaryimage"},"image":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/#primaryimage"},"thumbnailUrl":"https:\/\/dnewpydm90vfx.cloudfront.net\/wp-content\/uploads\/2023\/04\/word-image-64614-1.png.webp","datePublished":"2023-12-19T06:45:54+00:00","dateModified":"2023-12-19T06:45:56+00:00","author":{"@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50"},"description":"Scopri come i data breach stanno influenzando il settore sanitario e quali misure sono essenziali per salvaguardare la privacy dei pazienti. Approfondisci le normative GDPR applicate alla sicurezza dei dati medici e le migliori pratiche per la gestione del rischio e la conformit\u00e0.","breadcrumb":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/#primaryimage","url":"https:\/\/dnewpydm90vfx.cloudfront.net\/wp-content\/uploads\/2023\/04\/word-image-64614-1.png.webp","contentUrl":"https:\/\/dnewpydm90vfx.cloudfront.net\/wp-content\/uploads\/2023\/04\/word-image-64614-1.png.webp"},{"@type":"BreadcrumbList","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/nuove-linee-guida-delledpb-per-gestire-i-casi-di-violazione-dei-dati\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.consultingpb.com\/en\/"},{"@type":"ListItem","position":2,"name":"Nuove linee guida dell’EDPB per gestire i casi di violazione dei dati"}]},{"@type":"WebSite","@id":"https:\/\/www.consultingpb.com\/#website","url":"https:\/\/www.consultingpb.com\/","name":"PB Consulting","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.consultingpb.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50","name":"Alberto Bozzo","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","caption":"Alberto Bozzo"},"sameAs":["https:\/\/www.consultingpb.com\/","https:\/\/www.facebook.com\/alberto.bozzo.9","https:\/\/www.instagram.com\/ab_dirittorovescio\/","https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/"],"url":"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/"}]}},"_links":{"self":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/3591","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/comments?post=3591"}],"version-history":[{"count":8,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/3591\/revisions"}],"predecessor-version":[{"id":5056,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/3591\/revisions\/5056"}],"wp:attachment":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media?parent=3591"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/categories?post=3591"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/tags?post=3591"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"\"](\"https:\/\/dnewpydm90vfx.cloudfront.net\/wp-content\/uploads\/2023\/04\/word-image-64614-1.png.webp\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2023\/11\/avv.-bozzo-1-1024x576.jpg\")
<\/figure>\n","protected":false},"excerpt":{"rendered":"