Il titolare del trattamento, a prescindere dalla notifica al Garante e le informative previste dal GDPR, ha l'obbligo di documentaretutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

I campi Data ed Ora Violazione e Data ed Ora Comunicazione consentono di calcolare il tempo trascorso tra il momento in cui avviene la violazione e quello in cui il fatto viene comunicato. Il programma verifica automaticamente se è stato rispettato il vincolo delle 72 ore e si colora di rosso per indicare la necessità di motivare il ritardo nella comunicazione alle autorità competenti.

Il Registro delle violazioni di dati personali, nel dettaglio, riporta i seguenti campi: 

Descrizione della violazione e dei dati personali coinvolti

Una violazione dei dati può essere causata da minacce esterne (criminali informatici, attivisti politici, azioni di guerra o terrorismo informatico, concorrenza sleale e tentativi di furto) o interne (dipendenti scontenti, ex dipendenti).

Le azioni che la producono possono essere dolose (furto, estorsione con sequestro dei dati, distruzione deliberata) o colpose (errore, cancellazione non voluta). Inserisci una descrizione sintetica della violazione, indicando se ha comportato una perdita di confidenzialità, integrità o disponibilità dei dati.

Descrivi inoltre i dati interessati dalla violazione, ad es. dati anagrafici, di contatto, di accesso e di identificazione, di pagamento, relativi alla fornitura di un servizio di comunicazione elettronica, relativi a condanne penali e a reati o a connesse misure di sicurezza o di prevenzione, di profilazione, relativi a documenti di identificazione/riconoscimento, di localizzazione, che rivelino l’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, l’appartenenza sindacale, relativi alla vita o all’orientamento sessuale, relativi alla salute, genetici o biometrici.

Descrivi anche la loro localizzazione, se erano stati sottoposti a crittografia, e altre indicazioni utili.

Queste informazioni sono tratte dal rapporto redatto in combinazione con la procedura di risposta agli incidenti sulla sicurezza delle informazioni da conservare nella cartella.