skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA: Incendio OVH, Bisogna Avvisare Il CNIL?

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA: Incendio OVH, bisogna avvisare il CNIL?

This post is also available in: English Español Français

A seguito dell’incendio del 10 marzo 2021 avvenuto in un data center OVH a Strasburgo, la CNIL richiama gli obblighi in termini di notifica di violazione in caso di indisponibilità o distruzione dei dati personali.

La distruzione dei dati personali (temporanea o permanente), anche accidentale, costituisce una violazione dei dati ai sensi del GDPR.

Pertanto, i titolari del trattamento che hanno ospitato i dati personali all’interno delle infrastrutture interessate devono documentare la violazione (i fatti, i suoi effetti e le misure adottate per porvi rimedio) in un registro tenuto internamente.

I subappaltatori devono informare i propri clienti dell’accaduto in modo che possano adempiere ai propri obblighi, compreso quello della documentazione nel registro delle violazioni tenuto internamente da ciascuno di essi.

Casi in cui la notifica non è necessaria

La notifica alla CNIL e la comunicazione agli individui non è necessaria se le conseguenze rimangono limitate per gli individui. Pertanto, non è necessario informare la CNIL:

  • se l’attuazione di un piano di ripresa aziendale (PRA) o di un piano di continuità operativa (BCP) ha assicurato la continuità del servizio; o
  • se i dati sono stati ripristinati dai backup, senza conseguenze significative per le persone (es: le conseguenze sono limitate all’impossibilità di effettuare un ordine per alcune ore).

Quando è necessaria la notifica

D’altra parte, è necessaria una notifica alla CNIL:

  • se i dati personali sono stati persi in modo permanente; o
  • se non sono stati disponibili per un tempo sufficientemente lungo da creare un rischio per le persone.

Inoltre, se la violazione è suscettibile di generare rischi elevati per le persone, anche queste devono essere informate direttamente dal titolare del trattamento.

Il livello di rischio viene valutato in particolare tenendo conto del tipo di dati interessati e delle potenziali conseguenze della violazione (ad esempio, è probabile che la perdita permanente dei dati sanitari di un paziente presenti un rischio elevato).

La missione della CNIL è quella di ricevere notifiche di violazioni dei dati e di fornire consulenza in materia di comunicazione alle persone interessate, ma non fornisce assistenza o servizi di riparazione per incidenti di sicurezza informatica

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL

Back To Top