Notifica di violazione dei dati personali: guida pratica per team SaaS

La notifica di violazione dei dati personali e il flusso operativo per decidere se un incidente di sicurezza o dati deve essere notificato a un'autorita di controllo, comunicato alle persone interessate, documentato internamente o escalato ai clienti. Per i team SaaS non si tratta solo di ricordare la regola delle 72 ore. Serve capire rapidamente che cosa e successo, quali dati possono essere coinvolti, se le soglie del GDPR sono soddisfatte, chi decide e quali prove sostengono la decisione.

Ai sensi dell'articolo 33 GDPR, il titolare deve notificare l'autorita competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui viene a conoscenza di una violazione di dati personali, salvo che sia improbabile un rischio per diritti e liberta delle persone. L'articolo 34 richiede una comunicazione separata alle persone quando e probabile un rischio elevato. Il responsabile del trattamento deve avvisare il titolare senza ingiustificato ritardo quando viene a conoscenza di una violazione.

Perche conta

Un SaaS tratta dati tramite infrastruttura prodotto, supporto, analytics, CRM, pagamenti, log, backup, funzioni AI e fornitori. Una violazione puo quindi diventare rapidamente un problema di sicurezza, privacy, legale, fiducia dei clienti e audit.

Le prime ore sono spesso confuse. Security contiene l'evento. Engineering verifica i sistemi. Customer success chiede quali account siano coinvolti. Legal ha bisogno di fatti per valutare le soglie. Senza un flusso pronto, il team perde tempo a capire chi possiede la decisione.

Quando si applica

Il GDPR definisce una violazione di dati personali come una violazione di sicurezza che causa distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato a dati personali. Puo riguardare confidenzialita, integrita o disponibilita, non solo attacchi malevoli.

Esempi SaaS: database di produzione esposto per errore di configurazione, ticket di supporto inviati al cliente sbagliato, accesso non autorizzato a log con dati personali, device rubato non cifrato, cancellazione o corruzione di dati senza recupero affidabile, incidente presso un responsabile o sub-responsabile.

Non ogni incidente di sicurezza e notificabile. Se non ci sono dati personali, le regole possono non applicarsi. Se ci sono dati personali ma il rischio per le persone e improbabile, la notifica all'autorita puo non essere richiesta. Il team dovrebbe comunque documentare fatti, valutazione, decisione e rimedi.

Separare rilevazione e notifica

I programmi migliori separano quattro domande: c'e stato un incidente di sicurezza, ha coinvolto dati personali, esiste rischio o rischio elevato per le persone, chi deve essere informato, da chi e quando.

Security puo guidare rilevazione e contenimento, ma privacy o legal dovrebbe possedere la decisione sulla soglia. Product, engineering, vendor management e team cliente forniscono fatti. Se il SaaS agisce da responsabile per dati cliente, il DPA puo imporre tempi e contenuti piu stringenti del calendario regolatorio.

Creare un record di valutazione

Il record di valutazione e la prova centrale. Include ora di rilevazione, momento di conoscenza, sistemi e fornitori coinvolti, categorie di dati e interessati, numero approssimativo di persone e record, natura dell'impatto, contenimento, conseguenze probabili, mitigazione, decisione sulla notifica all'autorita, decisione sulla comunicazione alle persone, motivi per non notificare, owner, approvatore e follow-up.

Il record puo evolvere. L'articolo 33 consente informazioni per fasi quando non tutto e disponibile subito. La lezione pratica e aprire la valutazione presto e aggiornarla.

Usare il modello delle 72 ore

Da 0 a 4 ore: confermare se dati personali possono essere coinvolti, aprire il record e assegnare owner. Da 4 a 24 ore: identificare sistemi, categorie, persone, fornitori, contenimento e conseguenze. Da 24 a 48 ore: decidere se notificare l'autorita e preparare la bozza. Da 48 a 72 ore: notificare se richiesto, spiegare eventuali ritardi e pianificare informazioni successive. Dopo: continuare rimedio, comunicazioni, analisi causa e conservazione prove.

Chi informare

L'autorita puo dover essere informata quando e probabile un rischio per diritti e liberta. Le persone interessate devono essere informate quando e probabile un rischio elevato. I clienti possono avere diritto a notifica per contratti, DPA, impegni di sicurezza o trust center.

La comunicazione alle persone deve spiegare in modo chiaro natura della violazione, contatto, conseguenze probabili e misure prese o proposte. Richiede precisione legale e guida pratica.

Collegare prodotto e fornitori

La notifica e piu semplice con inventari dati, registri dei responsabili, log di accesso, regole di retention e review di lancio aggiornati. Il flusso deve collegarsi a incident response, registri di trattamento, vendor management, contratti cliente, backup, access review, privacy notice e azioni correttive.

Errori comuni

Gli errori principali sono trattare la notifica come tema legale tardivo, aprire il record troppo tardi, dimenticare tempi di clienti e responsabili, presumere che cifratura o recupero chiudano automaticamente l'analisi, e chiudere l'incidente dopo la notifica senza rimedio e miglioramento dei controlli.

FAQ

Cosa devono capire i team?

Che la notifica e un flusso time-sensitive con rilevazione, contenimento, risk assessment, decisioni legali, obblighi cliente, prove e rimedio.

Quando si applica ai team SaaS?

Quando una violazione di sicurezza coinvolge dati personali tramite perdita, modifica, divulgazione, accesso non autorizzato o indisponibilita.

Qual e l'errore piu grande?

Aspettare che i fatti siano completi prima di iniziare la valutazione. Meglio aprire presto il record, assegnare owner e aggiornare la decisione.

Fonti

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.