Multa GDPR emesse finora: punti chiave

Il GDPR a colpo d'occhio

È passato un anno da quando il General Data Protection Regulation (GDPR) è entrato in vigore, dopo anni di discussioni sulla data security adeguata all'era digitale. Uno dei regolamenti più rigorosi fino ad oggi, il GDPR si applica a ogni impresa o ente pubblico che raccoglie, elabora o conserva i dati personali dei residenti dell'UE. Ciò include non solo ogni datore di lavoro nell'UE ma anche ogni organizzazione in qualsiasi parte del mondo che offra prodotti e servizi ai residenti dell'UE, così come le aziende che elaborano i loro dati personali per conto di altre organizzazioni. A causa della sua portata globale, il GDPR ha portato a un cambiamento massiccio nella protezione dei dati personali, sia all'interno dell'UE che al di fuori.

Il European Data Protection Board (EDPB) riporta che durante il primo anno dall'entrata in vigore del GDRP, sono stati registrati oltre 89.000 data breach e 446 casi transfrontalieri sono stati indagati dalle autorità di protezione dei dati. Inoltre, la European Commission nota che il numero di domande e reclami da parte degli individui riguardo alla sicurezza dei loro dati è in aumento, il che suggerisce una crescente consapevolezza pubblica sui diritti di protezione dei dati garantiti dal GDPR.

Un altro impatto significativo del GDPR è che sta aiutando a rivelare come i dati vengono elaborati dai giganti di internet, dalle piattaforme di social media e dalle aziende di altri settori — un argomento che preoccupa molte persone ovunque. Ad esempio, nel suo rapporto annuale del 2018, la Commissione Irlandese per la Protezione dei Dati (DPC) ha dichiarato di aver avviato indagini sulle attività di elaborazione dei dati di una serie di aziende multinazionali di internet e tecnologia con sede in Irlanda, inclusi Facebook, Apple, Twitter, LinkedIn, WhatsApp e Instagram.

Casi di non conformità al GDPR: Cosa abbiamo imparato

Un EDBP report che copre i primi nove mesi dopo l'entrata in vigore del GDPR rivela che i regolatori di 11 paesi europei hanno imposto multe per più di 56 milioni di euro. La maggior parte di questa somma deriva da una singola sanzione: la massiccia multa di 50 milioni di euro imposta a Google dall'autorità francese per la protezione dei dati.

Quella è la più grande GDPR fine finora, ma è difficile dire per quanto tempo Google manterrà questa discutibile distinzione. Ci sono indagini in corso su diverse gravi violazioni della privacy dei dati, con multe ancora da annunciare. Una di queste è una violazione dei dati di British Airways, indagata dall'ufficio del commissario per le informazioni del Regno Unito (ICO). In base al GDPR, l'azienda potrebbe essere multata fino al 4% del suo fatturato annuo globale, che sarebbe una multa di 560 milioni di euro — un ordine di grandezza maggiore rispetto alla penalità di Google.

Ci sono stati anche numerosi interventi che coinvolgono organizzazioni più piccole con multe molto più basse. Ciò suggerisce che le autorità hanno in gran parte considerato il primo anno come un periodo di transizione per allertare le aziende e supportarle nel loro cammino verso la GDPR compliance, piuttosto che inseguire ogni infrazione e imporre le massime sanzioni.

Tuttavia, diverse organizzazioni sono già state colpite da pesanti multe GDPR. Ecco alcune delle loro storie:

Il mancato impiego di controlli tecnici e organizzativi appropriati

Chi: Centro Hospitalar Barreiro Montijo (un ospedale portoghese)

Quando: luglio 2018

Quanto costa: €400.000

Violazione: L'ospedale aveva 689 utenti associati a profili “medico” che concedevano diritti di accesso eccessivi, nonostante ci fossero solo 296 medici nell'ospedale. Inoltre, tutti i medici avevano accesso illimitato a tutti i file dei pazienti, indipendentemente dalla specializzazione del medico. L'ultima volta che l'ospedale ha disattivato un account utente è stato nel novembre 2016. L'ospedale non aveva nemmeno documentazione che spiegasse i diritti di accesso degli utenti, e nessun documento che definisse le regole per la creazione di utenti del suo sistema informativo.

Punti chiave: L'articolo 25 del GDPR richiede alle organizzazioni di implementare misure tecniche e organizzative adeguate per garantire che i dati sensibili siano trattati correttamente e siano accessibili solo alle persone appropriate. Ecco i passaggi più importanti da seguire:

• Determina quali dati sensibili possiedi e chi ha accesso ad essi. Utilizzare una soluzione di data classification ti aiuterà a separare le risorse più critiche dai dati meno sensibili.
• Trova i dati regolamentati dal GDPR che sono troppo esposti. Riduci i privilegi degli account in base alle esigenze dei compiti o del lavoro. Esegui revisioni periodiche degli accessi per assicurarti che il principle of least privilege sia rispettato.
• Assicurati che tutti i dati regolamentati siano conservati in una posizione sicura in base al loro valore e sensibilità.
• Mantieni aggiornati i tuoi controlli di sicurezza ed essere pronto a fornire prove che la tua azienda sta elaborando i dati personali in modo sicuro.

Mancata segnalazione di una violazione dei dati

Chi: UAB MisterTango (fornitore di servizi di pagamento lituano)

Quando: maggio 2019

Quanto costa: €61.500

Violazione: Una delle ultime notizie riguarda un'azienda che non ha segnalato una violazione dei dati personali avvenuta tra il 9 e il 10 luglio 2018. Durante quel periodo di 2 giorni, i dati dei pagamenti erano pubblicamente accessibili su internet a causa di misure tecniche e organizzative inadeguate. I dati coinvolti riguardavano 12 banche di diversi paesi e 9.000 transazioni di pagamento. L'azienda ha anche violato il GDPR quando ha accesso e raccolto più dati personali del necessario per l'esecuzione dei pagamenti. L'azienda ha inoltre conservato dati regolati dal GDPR molto più a lungo del necessario — 216 giorni invece di 10 minuti.

Punti chiave: La sanzione in questo caso dimostra che i regolatori del GDPR prendono molto sul serio il mancato avviso di una violazione dei dati, specialmente quando la violazione coinvolge informazioni finanziarie. Le organizzazioni devono avere tutti i controlli necessari per rilevare, segnalare e indagare sulle violazioni dei dati personali. Consulta il tuo consulente legale riguardo agli Articoli 33 e 34 se non sei sicuro dei passaggi corretti per la notifica di violazione dei dati e quando si applicano.

Per garantire di raccogliere e conservare solo le informazioni minime necessarie per i processi aziendali, si dovrebbe sviluppare una politica di conservazione che indichi chiaramente per quanto tempo mantenere ogni tipo di dato e cosa farne (come eliminarlo o archiviarlo) una volta che non ne avete più bisogno o non potete più conservarlo legalmente.

Mancata informazione agli individui che i loro dati sarebbero stati trattati

Chi: Controllore di dati anonimo in Polonia

Quando: marzo 2019

Quanto costa: €200.000

Violazione: In base al GDPR, gli individui hanno il diritto di essere informati sulla raccolta e sull'utilizzo dei loro dati personali. L'organizzazione in questo caso ha informato correttamente le 90.000 persone del proprio database clienti di cui aveva gli indirizzi email — ma non ha contattato direttamente gli altri 6 milioni di persone per cui non aveva gli indirizzi email, citando alti costi operativi. Invece, l'organizzazione ha scelto di presentare le informazioni sulla raccolta e sull'utilizzo dei dati sul proprio sito web.

Punti chiave: Gli enti regolatori hanno ritenuto questo approccio insufficiente, notando che l'azienda aveva altri dettagli di contatto, come numeri di telefono e indirizzi fisici, che avrebbe potuto utilizzare per contattare direttamente i clienti. Gli enti regolatori hanno anche considerato l'infrazione intenzionale perché l'azienda era a conoscenza dell'obbligo di informare direttamente le persone e non c'era stato alcun tentativo o persino un'intenzione dichiarata di porre fine all'infrazione.

Questa recente decisione suggerisce che la clemenza nell'applicazione del GDPR è terminata. L'azienda ha violato i requisiti fondamentali della legge riguardo al corretto trattamento dei dati personali ed è stata colpita da una pesante multa.

L'influenza del GDPR sui sistemi normativi al di fuori dell'UE

Da quando il GDPR è entrato in vigore, abbiamo visto leggi simili essere promulgate in tutto il mondo. Secondo la United Nations Conference on Trade and Development (UNCTAD), oltre 100 paesi hanno ora leggi sulla protezione dei dati. Anche la nuova normativa del Brasile ha un nome simile: Legge Generale sulla Protezione dei Dati (LGPD). Nei prossimi anni, ci aspettiamo di vedere maggiori applicazioni riguardo gli scambi internazionali di dati.

L'UE sta lavorando per introdurre il Regolamento ePrivacy, che sostituirà la Direttiva ePrivacy 2002/58/EC (la “Legge sui Cookie”) e integrerà il GDPR regolando la privacy rispetto ai servizi di comunicazione elettronica, inclusi l'uso di metadati e cookie.

La privacy dei dati è inoltre oggetto di attenzione negli Stati Uniti. Ad esempio, il California Consumer Privacy Act (CCPA), che ha molto in comune con il GDPR, entra in vigore il 1° gennaio 2020. Il Massachusetts sta aggiornando la sua legge sulle violazioni dei dati per includere nuovi requisiti per le aziende che raccolgono dati personali dei residenti dello stato, e l'Oregon sta lavorando su emendamenti per rafforzare le leggi sulla cybersecurity per le organizzazioni che subiscono una violazione dei dati.

Cosa dicono gli esperti sull'impatto del GDPR

Abbiamo chiesto a diversi esperti in che modo il GDPR ha influenzato le aziende, ed ecco cosa hanno detto:

Douglas Crawford, esperto di privacy digitale, ProPrivacy.com

Probabilmente il vantaggio più grande è che il GDPR ha costretto le aziende a riflettere attentamente sul consenso degli utenti e sul diritto alla privacy degli stessi. In realtà, ci vorranno alcuni anni perché i pieni benefici per i consumatori diventino evidenti, ma il risultato finale dovrebbe giovare agli utenti ordinari di internet ovunque. Poiché adottare un approccio a due (o più) livelli per la privacy degli utenti è estremamente impraticabile, le aziende sono state costrette ad estendere i benefici della privacy del GDPR a tutti i loro clienti, indipendentemente dal fatto che vivano o meno nell'UE.

Anche se il primo anno è stato definito un “anno di transizione”, il GDPR ha finora ottenuto notevoli successi per quanto riguarda la segnalazione delle violazioni dei dati. All'interno dell'UE, tali segnalazioni sono quasi raddoppiate nei primi otto mesi da quando il GDPR è stato introdotto. Questo probabilmente metterà pressione al governo degli Stati Uniti per istituire leggi simili a livello federale, piuttosto che fare affidamento su un groviglio inefficiente di legislazioni statali che risultano in bassi livelli di violazioni dei dati auto-segnalate.

È probabile che nei prossimi anni i regolatori europei adottino un approccio più deciso nell'applicazione del GDPR. Ha senso iniziare mettendo in ordine il proprio giardino, ma una volta fatto ciò, è quasi certo che i regolatori rivolgeranno la loro attenzione in modo più completo alle aziende internazionali che fanno affari in Europa.

Monica Eaton-Cardone, co-fondatrice e COO, Chargebacks911

Come imprenditore globale, ho notato che molte aziende hanno assunto avvocati per assistere con i loro dati. Quando il GDPR è entrato in vigore, le persone sono diventate più consapevoli dell'importanza di proteggere i propri dati.

Anche se il GDPR ha aiutato alcune aziende a crescere, ci sono state migliaia di reclami riguardo la mancanza di adeguata trasparenza, il che non è stato una sorpresa. Dopo tutto, al momento in cui il GDPR è entrato in vigore, pochi commercianti avevano l'infrastruttura in atto per analizzare i dati con il livello di dettaglio richiesto dal GDPR, e ancora pochi lo fanno ora.

La comunicazione tra i soggetti dei dati potrebbe cambiare nel tempo per aiutare a proteggere la nostra privacy negli anni a venire. Tuttavia, resta da vedere come ciò influenzerà la frode a lungo termine, poiché potremmo avere un accesso sempre più limitato ai dati dei consumatori.

Simon Fogg, esperto di privacy dei dati e analista legale, Termly.io

Le aziende statunitensi sono ora molto più caute nel rivolgersi ai clienti nell'UE. Anche se il GDPR è entrato in vigore più di un anno fa, oltre 1.000 importanti pubblicazioni statunitensi sono ancora inaccessibili agli utenti dell'UE — sia perché queste pubblicazioni non hanno mai completato i loro sforzi di conformità, sia perché ritenevano che la loro base di clienti europei non fosse abbastanza ampia da giustificare le necessarie (e costose) modifiche. Le aziende statunitensi erano solite raccogliere dati in modo estensivo, ma il GDPR ha costretto molti a navigare i confini dei dati con maggiore vigilanza.

Dovremmo aspettarci che il numero di multe per non conformità al GDPR aumenti vertiginosamente. Sebbene finora siano state emesse poche sanzioni degne di nota, i regolatori stanno ancora affrontando un grande arretrato di violazioni dei dati. Una volta che avranno recuperato, inizieranno ad esercitare la loro autorità con maggiore forza e le aziende negli Stati Uniti sono probabili tra quelle che saranno colpite.

Sweeney Williams, vicepresidente della sicurezza, privacy e conformità, Vision Critical

Prima del GDPR, le aziende statunitensi senza presenza fisica in Europa potevano operare con poco o nessun riguardo per i requisiti di privacy dell'UE, poiché la portata dell'applicazione era limitata e le potenziali multe erano basse. Il GDPR ha costretto le aziende statunitensi non solo a prendere atto dei requisiti dell'UE, ma anche ad attuare e far rispettare tali requisiti nelle proprie operazioni, spesso a grande spesa. Migliaia di aziende hanno assunto responsabili della protezione dei dati, creato complesse mappe dei flussi di dati, implementato processi di accesso ai dati da parte degli interessati in decine di applicazioni disconnesse e apportato significativi miglioramenti alle loro operazioni di sicurezza e privacy dei dati. D'altra parte, numerose aziende con sede negli Stati Uniti hanno scelto di chiudere le operazioni che erano situate nell'UE o che fornivano prodotti e servizi all'UE, ritenendo che il costo della perdita di entrate sarebbe stato inferiore al costo della conformità e delle potenziali multe. Alcune hanno addirittura deciso di bloccare gli IP europei dal collegarsi ai loro siti web.

L'impatto più significativo e benefico del GDPR, sia all'interno che all'esterno degli Stati Uniti, è stato la sua influenza sul pubblico, a causa dei forti diritti di accesso e trasparenza dei soggetti dei dati di cui dispone. Sebbene i concetti alla base del GDPR non siano nuovi, la consapevolezza dei diritti alla privacy dei dati è aumentata vertiginosamente come risultato della quantità senza precedenti di attenzione dei media che il regolamento ha generato dalla sua introduzione. Le persone ora si aspettano di ricevere lo stesso livello di trasparenza, accesso ai dati e diritti di controllo come quelli contenuti nel GDPR, e i regolatori di tutto il mondo stanno affrontando una pressione significativa da parte dei loro elettori per promulgare leggi sulla privacy dei dati simili al GDPR nei loro paesi. Negli Stati Uniti in particolare, il tasso di nuove proposte di regolamenti sulla privacy dei dati è al massimo storico e probabilmente culminerà nella creazione della prima legge federale sulla privacy degli Stati Uniti, che alcuni ritenevano impossibile solo pochi anni fa.

Aki Estrella, consulente per la privacy, Stellae Legal and Risk Advisors

Per lo più, il GDPR ha cambiato il modo in cui le aziende gestiscono le informazioni e pianificano il loro utilizzo. Segregare le informazioni, inviare notifiche e formare dipendenti/reparti per rispondere alle richieste dei cittadini dell'UE sono stati gli impatti più comuni; tuttavia, come abbiamo visto, alcune aziende non hanno ancora capito bene le cose e stanno affrontando le ingenti multe associate al GDPR. Non vedo alcuna riduzione nell'uso dei dati da parte delle aziende o nella vendita all'UE (o al Regno Unito, che ha approvato una propria normativa sui dati quasi identica).

FAQ

Cos'è il GDPR nella sicurezza informatica?

Il GDPR (General Data Protection Regulation) nella cybersecurity rappresenta un quadro normativo completo che impone specifiche misure tecniche e organizzative per proteggere i dati personali da minacce informatiche e accessi non autorizzati. Da un punto di vista della cybersecurity, il GDPR richiede alle organizzazioni di implementare la protezione dei dati per progettazione e per impostazione predefinita, il che significa che i controlli di sicurezza devono essere integrati nei sistemi fin dall'inizio piuttosto che essere aggiunti come un pensiero successivo. I requisiti chiave della cybersecurity includono la cifratura dei dati personali in transito e a riposo, controlli di accesso robusti che limitano l'accesso ai dati solo al personale autorizzato, valutazioni di sicurezza regolari e test di penetrazione, e procedure di risposta agli incidenti che consentono la notifica della violazione entro 72 ore. Il GDPR impone anche tecniche di pseudonimizzazione, procedure sicure di backup e recupero dei dati, e tracciati di audit completi che registrano chi ha avuto accesso a quali dati e quando. Per la gestione dell'identità e degli accessi, il GDPR richiede alle organizzazioni di implementare meccanismi di autenticazione forti, revisioni regolari degli accessi e provisioning e deprovisioning automatizzati per prevenire accessi non autorizzati ai dati. Il principio di “privacy by design” del regolamento significa che la cybersecurity non riguarda solo la conformità – si tratta di costruire sistemi resilienti che proteggono i dati personali come un requisito fondamentale di progettazione.

A chi si applica il GDPR?

Il GDPR si applica a qualsiasi organizzazione che elabora dati personali di residenti dell'UE, indipendentemente dalla posizione fisica dell'organizzazione – ciò significa che aziende statunitensi, imprese asiatiche e organizzazioni di tutto il mondo possono rientrare nella giurisdizione del GDPR. Il regolamento copre due tipi di entità: i controllori dei dati (che determinano gli scopi e i mezzi dell'elaborazione dei dati personali) e i processori dei dati (che elaborano dati per conto dei controllori). La tua organizzazione è soggetta al GDPR se offri beni o servizi ai residenti dell'UE, monitori il comportamento dei residenti dell'UE online o gestisci dati di dipendenti dell'UE in aziende multinazionali. Anche se la tua attività non ha una presenza fisica nell'UE, attività come la diffusione di pubblicità mirate agli utenti dell'UE, l'elaborazione di ordini di clienti dell'UE o il tracciamento dei visitatori di siti web dell'UE tramite cookie possono innescare obblighi GDPR. Il fattore chiave è l'elaborazione di dati personali – qualsiasi informazione che possa identificare un residente dell'UE, inclusi nomi, indirizzi email, indirizzi IP, dati di localizzazione o identificatori online. Le piccole imprese non sono esenti se soddisfano questi criteri, anche se alcune attività di elaborazione possono qualificarsi per esenzioni. Per i professionisti della Identity Management, ciò significa che qualsiasi sistema che memorizza dati personali dell'UE richiede controlli di accesso conformi al GDPR, tracce di audit e capacità relative ai diritti dei soggetti dei dati indipendentemente dalla posizione geografica della tua organizzazione.

Cos'è la conformità al GDPR?

La conformità al GDPR significa implementare misure di protezione dei dati complete che soddisfino tutti i requisiti del Regolamento Generale sulla Protezione dei Dati, andando ben oltre le semplici politiche sulla privacy per abbracciare salvaguardie tecniche, procedure organizzative e protezione dei diritti individuali. La vera conformità richiede un approccio multilivello che include la determinazione della base legale per tutte le attività di trattamento dei dati, valutazioni dell'impatto sulla protezione dei dati per trattamenti ad alto rischio, la nomina di Responsabili della Protezione dei Dati dove richiesto, e l'attuazione dei diritti dei soggetti dei dati inclusi accesso, rettifica, cancellazione e portabilità. Le misure tecniche di conformità includono crittografia, pseudonimizzazione, controlli di accesso, registrazione degli audit e pratiche di minimizzazione dei dati che assicurano di raccogliere e conservare solo i dati personali necessari per scopi specificati. La conformità organizzativa coinvolge la formazione del personale, lo sviluppo di politiche, la gestione dei fornitori e le procedure di risposta alle violazioni che possono soddisfare il requisito di notifica entro 72 ore. Da un punto di vista della gestione dell'identità, la conformità al GDPR significa implementare controlli di accesso basati sui ruoli, revisioni regolari degli accessi, gestione automatizzata del ciclo di vita degli utenti e tracce di audit complete che possono dimostrare la conformità durante le indagini normative. La conformità non è un traguardo raggiunto una volta per tutte, ma un processo continuo che richiede valutazioni regolari, aggiornamenti delle politiche e monitoraggio continuo per mantenere gli standard di protezione man mano che la tua attività e il panorama normativo si evolvono.

Come condurre un audit di conformità al GDPR?

Un audit sulla conformità al GDPR richiede una valutazione sistematica delle attività di elaborazione dei dati, delle misure tecniche di sicurezza e delle procedure organizzative per identificare lacune e garantire l'allineamento normativo. Inizia con la mappatura dei dati per creare un inventario completo dei dati personali che la tua organizzazione raccoglie, elabora, conserva e condivide. Ciò include l'identificazione delle fonti di dati, degli scopi di elaborazione, delle basi legali, dei periodi di conservazione e degli accordi di condivisione con terze parti. Valuta i controlli tecnici inclusi i sistemi di gestione degli accessi, le implementazioni della crittografia, le procedure di backup e le capacità di monitoraggio della sicurezza per assicurarti che soddisfino il requisito di “misure tecniche adeguate” del GDPR. Rivedi le misure organizzative inclusi i programmi di formazione del personale, le politiche di protezione dei dati, gli accordi con i fornitori e le procedure di risposta agli incidenti per verificare che supportino gli obblighi del GDPR. Valuta l'attuazione dei diritti dei soggetti dei dati testando la tua capacità di rispondere alle richieste di accesso, alle richieste di rettifica e ai requisiti di cancellazione entro i tempi previsti. Esamina le pratiche di documentazione per assicurarti di poter dimostrare la conformità attraverso registri delle attività di elaborazione, valutazioni d'impatto sulla protezione dei dati e registri degli incidenti di violazione. Per i sistemi di Identity Management, audita i controlli di accesso degli utenti, Privileged Access Management, i processi di revisione degli accessi e la completezza delle tracce di verifica per assicurarti di poter tracciare chi ha avuto accesso a quali dati personali e quando. Documenta tutti i risultati con chiare priorità di rimedio, tempistiche di implementazione e assegnazioni di responsabilità. Gli audit regolari dovrebbero avvenire almeno annualmente o dopo cambiamenti significativi del sistema, con un monitoraggio continuo per le attività di elaborazione dei dati ad alto rischio.

Checklist per l'implementazione del GDPR per Identity Management?

L’implementazione del GDPR per la gestione delle identità richiede la distribuzione sistematica di controlli di accesso, capacità di audit e strumenti di supporto ai diritti degli interessati, al fine di proteggere i dati personali durante tutto il loro ciclo di vita. Inizia con l’implementazione di un framework di controllo degli accessi: stabilisci controlli di accesso basati sui ruoli (RBAC) che impongano il principio del minimo privilegio, implementa meccanismi di autenticazione forte, inclusa l’autenticazione multifattore per l’accesso ai dati sensibili, e distribuisci sistemi automatizzati di provisioning e deprovisioning per garantire modifiche tempestive ai diritti di accesso quando i dipendenti vengono assunti, si spostano o lasciano l’organizzazione. Implementa una registrazione completa delle attività di audit, che catturi chi ha avuto accesso a quali dati personali e quando, con archiviazione dei log a prova di manomissione e analisi periodiche per rilevare tentativi di accesso non autorizzati. Distribuisci strumenti di data discovery e classificazione per identificare dove risiedono i dati personali nel tuo ambiente, quindi applica controlli di accesso che limitino la visibilità dei dati solo ai ruoli autorizzati. Stabilisci capacità di gestione dei diritti degli interessati, tra cui: ricerca e recupero automatizzati per le richieste di accesso, procedure sicure di modifica dei dati per le richieste di rettifica, e processi affidabili di cancellazione dei dati per le richieste di oblio. Configura politiche di conservazione dei dati che eliminino automaticamente i dati personali alla scadenza dei periodi legali di conservazione, prevedendo eccezioni per i casi soggetti a “legal hold”. Applica tecniche di tutela della privacy, tra cui: pseudonimizzazione per gli ambienti di sviluppo e test, crittografia dei dati personali sia a riposo sia in transito, e controlli di minimizzazione dei dati che impediscano la raccolta eccessiva di informazioni personali. Crea procedure di risposta agli incidenti specifiche per le violazioni di dati legate all’identità, che includano contenimento rapido, valutazione dell’impatto e capacità di notifica alle autorità competenti. Documenta tutte le procedure di identity management, esegui revisioni periodiche degli accessi e stabilisci un monitoraggio continuo per garantire una conformità sostenuta al GDPR man mano che la tua infrastruttura di identità evolve.