Checklist per la notifica delle violazioni di dati personali per founder e responsabili compliance

La notifica delle violazioni di dati personali funziona meglio quando il team passa rapidamente dall'incertezza a una decisione documentata. La checklist e pratica: confermare se sono coinvolti dati personali, aprire un registro di valutazione, assegnare i responsabili, valutare il rischio per le persone, decidere se notificare autorita o interessati, conservare prove e seguire la remediation fino alla chiusura.

Ai sensi dell'articolo 33 GDPR, il titolare deve notificare l'autorita competente senza ingiustificato ritardo e, ove possibile, entro 72 ore da quando viene a conoscenza della violazione, salvo che sia improbabile un rischio per diritti e liberta delle persone. L'articolo 34 aggiunge la comunicazione agli interessati quando e probabile un rischio elevato. Il responsabile del trattamento deve informare il titolare senza ingiustificato ritardo.

Cosa previene questa checklist

Molti problemi nascono prima della decisione di notifica. Il team rileva un evento di sicurezza, ma non sa se c'erano dati personali. Security contiene l'incidente, ma privacy e legal non ricevono fatti sufficienti. Customer success sente parlare dell'incidente prima che siano mappati gli obblighi contrattuali. Il leadership team chiede della finestra di 72 ore e nessuno sa quando l'organizzazione ne ha avuto conoscenza.

Questa checklist collega incident response, valutazione privacy, obblighi verso clienti, vendor management e prove di audit.

La checklist

Usala per ogni incidente di sicurezza o dati che potrebbe coinvolgere dati personali in produzione, supporto, log, analytics, CRM, backup, funzioni AI, piattaforme vendor, sistemi HR o dataset clienti.

1. Aprire subito il registro di valutazione

Non aspettare di sapere se l'incidente e notificabile. Il registro e lo spazio dove quella decisione viene presa. Registra titolo, riferimento, ora di rilevazione, canale, primo reviewer, possibile momento di conoscenza, sistemi coinvolti, contenimento iniziale, owner di incidente, privacy, legal, security e comunicazione, stato, fatti aperti e prossima revisione.

2. Confermare se ci sono dati personali

La definizione GDPR include distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato a dati personali. Riguarda confidenzialita, integrita e disponibilita. Chiedi se sono coinvolte persone identificate o identificabili, utenti, dipendenti, lead, amministratori, log, allegati, export, backup, analytics o prompt AI, e se i dati sono stati esposti, cambiati, persi o resi indisponibili.

3. Identificare il ruolo dell'azienda

Una societa SaaS puo essere titolare per dati dipendenti, prospect, billing, analytics o account, e responsabile per contenuti clienti. Per ogni dataset documenta ruolo, processo o cliente, contratto o DPA, timeline di notifica e chi decide.

4. Raccogliere i fatti minimi per l'articolo 33

Raccogli categorie e numero approssimativo di persone, categorie e numero approssimativo di record, tipi di dati, finestra temporale, accesso, download, divulgazione, alterazione, perdita o indisponibilita, contenimento, conseguenze probabili e misure prese o previste.

5. Valutare rischio e rischio elevato separatamente

Articolo 33 e articolo 34 usano soglie diverse. Valuta sensibilita, identificabilita, gravita, probabilita di abuso, credenziali, dati finanziari o sanitari, categorie particolari, minori, cifratura, durata, scala e prove di accesso reale.

6. Decidere chi informare

Separa autorita, interessati, clienti, fornitori, assicurazione, leadership interna e board. Per ciascuno registra obbligo, base, scadenza, owner, approvatore, contenuto e follow-up. Per i clienti controlla DPA e contratto.

7. Preparare il pacchetto prove

Conserva timeline, log, ticket, screenshot, note tecniche, analisi di ambito, ruolo, valutazione del rischio, decisioni, approvazioni, copie delle notifiche, remediation, root cause e miglioramenti di controllo.

8. Chiudere il ciclo

La notifica non chiude l'incidente. Verifica che configurazioni, permessi, codice o problemi vendor siano corretti, che i clienti abbiano ricevuto aggiornamenti, che la comunicazione agli interessati sia stata rivalutata, che le prove siano conservate e che processi prodotto, security, supporto e vendor siano aggiornati.

FAQ

Cosa devono capire i team?

Che la notifica e un workflow sensibile al tempo con fatti security, valutazione privacy, decisioni legali, obblighi clienti, prove, remediation e ownership.

Quando si applica ai team SaaS?

Quando una violazione di sicurezza coinvolge dati personali tramite distruzione, perdita, alterazione, divulgazione non autorizzata, accesso non autorizzato o indisponibilita.

Cosa documentare per primo?

Ora di rilevazione, possibile momento di conoscenza, sistemi e dati coinvolti, ruolo aziendale, contenimento, owner, fatti aperti e prossima revisione.

Fonti

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.