Sicurezza · Art. 33-34 GDPR
Procedura Data Breach
Ai sensi degli articoli 33 e 34 del GDPR, ConsensoSicuro adotta una procedura formalizzata per il rilevamento, la valutazione e la notifica delle violazioni dei dati personali (data breach).
Definizione di data breach
Una violazione dei dati personali è qualsiasi violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati.
Procedura interna in 4 fasi
1. Rilevamento
Il sistema ConsensoSicuro è dotato di monitoraggio automatico (audit log, alerting Cloudflare WAF, anomaly detection sui pattern di accesso). Ogni anomalia rilevata genera un ticket interno entro 1 ora.
2. Valutazione del rischio
Il DPO interno valuta entro 24 ore: tipo e numero di dati coinvolti, gravità del rischio per i diritti e le libertà degli interessati, possibilità di mitigazione. Si applica il Working Party 250 (rev. 2018).
3. Notifica al Garante (entro 72 ore)
Se il rischio è valutato non basso, ConsensoSicuro notifica al Garante per la Protezione dei Dati Personali (italiano) entro 72 ore dalla scoperta, indicando: natura della violazione, categorie e numero approssimativo di interessati e di registrazioni, conseguenze probabili, misure adottate.
4. Comunicazione agli interessati
Se il rischio è alto, ConsensoSicuro comunica direttamente agli interessati con linguaggio chiaro e semplice, senza ingiustificato ritardo. La comunicazione include il nome del DPO, le conseguenze probabili, le misure adottate.
Misure di sicurezza preventive
- Crittografia AES-256 dei dati a riposo
- TLS 1.3 per tutte le comunicazioni in transito
- Backup giornalieri cifrati + geo-replicati
- Audit log immutabili (chain hash) di ogni operazione
- Autenticazione a due fattori (2FA) obbligatoria per gli admin
- Penetration test annuale e bug bounty privato
- WAF Cloudflare con regole anti-SQLi, XSS, CSRF, scanning
Contatti per segnalazioni
Hai osservato un comportamento anomalo? Segnalalo a [email protected]. Per esercitare i diritti dell’interessato (artt. 15-22 GDPR) scrivi a [email protected].