Io ne ho viste cose...

 

...ma solo se riguardano dati personali si può parlare di data breach o violazione dei dati personali.

Difatti, già l'accesso non autorizzato produce una violazione di confidenzialità del dato.

Chissà cosa fare se l'accesso rilevato viene ricondotto ad un'Intelligenza Artificiale (nella maggior parte dei casi, immagino all'azione di un bot)?

 

Di sicuro, non tutte le violazioni devono essere notificate entro 72 ore all'Autorità di controllo, ma solo se esiste un rischio per i diritti e le libertà dell'interessato.

L'art. 33.5 GDPR però chiarisce che ogni evento di data breach, anche se irrilevante ai fini della notifica, deve essere registrato:

Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.

E quindi, anche se le cose viste andranno perse come lacrime nella pioggia, occorrerà comunque valutare la registrazione dell'evento per essere GDPReady.