GH GambleHub

Leggi per le perdite di dati e le notifiche

1) Introduzione e obiettivi

La fuga di dati non è solo un incidente tecnico, ma anche una procedura legale con tempi, destinazioni e requisiti formali per il contenuto delle notifiche. Gli errori nelle prime ore aumentano il rischio di multe, cause collettive e perdite di reputazione. Questo materiale è una road map pratica per le piattaforme B2C (incluse le piattaforme iGaming/Fintech) che aiuta ad agire in modo sincronizzato: sicurezza, avvocati, PR, assistenza clienti e compliance.

2) Cosa è considerata «fuga di dati personali»

Un incidente di sicurezza personale che provoca distruzione accidentale o illegale, perdita, modifica, accesso non risolto o divulgazione di dati personali. È importante il rischio per i diritti e le libertà dei soggetti (riservatezza, danni finanziari, discriminazione, phishing, ecc.).

3) Ruoli e responsabilità

Controllore (operatore) - Definisce obiettivi e strumenti di elaborazione ha il dovere primario di notificare, registrare e scegliere le basi legali.
Processore (processore/appaltatore): elabora i dati su commissione; È obbligato a informare il controllore senza ritardi e a contribuire alle indagini e alle notifiche.
Controllori congiunti coordinano un unico punto di contatto e distribuiscono le aree di responsabilità nell'accordo.

4) Soglia di notifica: tre livelli di rischio

1. Nessun rischio (ad esempio, un supporto criptato con chiavi affidabili, chiavi non compromesse) di registrare l'incidente nel registro, senza notifiche esterne.
2. Il rischio (c'è la possibilità di danni) è una notifica del regolatore entro i tempi previsti.
3. Un rischio elevato (danni significativi sono probabili: finanza, salute, bambini, fughe di massa, gruppi vulnerabili) può essere informato ulteriormente i soggetti con un linguaggio comprensibile e senza ritardi.

5) Data di notifica (modalità chiave di riferimento)

UE/EEA (GDPR): il controllore avvisa il regolatore entro 72 ore dalla notizia della fuga; i soggetti sono «senza ritardo eccessivo», se il rischio è elevato.
UK GDPR/ICO: simile a 72 ore al regolatore; Conservare il registro degli incidenti.
Canada (PIPEDA): regolatore e soggetti - il più presto possibile se il «rischio di danni significativi» è reale; Tenere un registro da almeno 24 mesi.
Singapore (PDPA): in PDPC - al più presto entro 3 giorni dal completamento della valutazione; soggetti senza ritardi per il rischio di danni significativi.
Brasile (TGPD): regolatori e soggetti - «in tempi ragionevoli»; Il punto di riferimento è il prima possibile dopo la conferma.
Emirati Arabi Uniti. PDPL )/ADGM/DIFFERC: nella maggior parte dei casi, notifica il regolatore entro le 72 ore a rischio elevato.
Australia (NDB): valutazione entro 30 giorni; notifica «al più presto possibile» dopo la conferma dell'incidente «da notificare».
Stati Uniti (regolamentazioni): i tempi variano (spesso «senza ritardo eccessivo», talvolta fissi da 30 a 60 giorni). Soglie di volume e tipi di dati, notifica al Procuratore Generale/Agenzie per incidenti importanti.
India (DPDP): notifiche al regolatore/soggetto, secondo le procedure stabilite dal regolatore; agire in fretta dopo l'identificazione.

💡 Nota: i tempi e le soglie specifici vengono aggiornati; Fissateli in Country Matrix e rivedeteli trimestralmente.

6) Cosa deve essere nelle notifiche

Regolatore:
  • una breve descrizione dell'incidente e della linea temporale;
  • Categorie e quantità approssimativa di dati e soggetti interessati
  • probabili conseguenze;
  • Misure adottate o proposte (attenuazione, prevenzione);
  • Contatto DPO/gruppo responsabile
  • stato: messaggio preliminare con indicazione dell'aggiunta successiva (se non tutti i fatti sono stati stabiliti).
Entità dati (utenti):
  • cosa è successo con un linguaggio semplice e quando;
  • quali sono i loro dati influenzati e le possibili conseguenze;
  • ciò che è già stato fatto (blocchi, cambio delle chiavi, rotazione forzata delle password, ecc.);
  • cosa può fare l'utente (2FA, cambio di password, monitoraggio dei conti/cronologia del credito);
  • canali di supporto, servizi gratuiti (ad esempio il monitoraggio del credito in caso di perdita di dati finanziari).

7) Ritardo di notifica accettabile

In un certo numero di modalità, è possibile ritardare la notifica su richiesta delle forze dell'ordine se la rivelazione immediata interferisce con le indagini. Fissare la base e la scadenza per iscritto.

8) Crittografia e porto sicuro

Molte leggi esonerano i soggetti se i dati sono stati criptati e le chiavi non sono compromesse. Documentare gli algoritmi/la gestione delle chiavi; Mettete la tecnologia. giustificazione per il registro dell'incidente.

9) Procedura di risposta: timeline «prime 72 ore»

T0-4 ore

Attivare il piano IR assegnare lidi (SIRT, avvocato, PR, DPO).
Isolamento del vettore di attacco, raccolta di manufatti (login, dampi), fissazione del tempo di sistema.
Qualifiche di base: dati personali? Quali categorie? Volume? geografia? Gli appaltatori?

T4-24 ore

Valutazione del rischio: impatto su diritti e libertà; bambini/finanza/salute.
La soluzione è la notifica del regolatore? Se lo è, cuciniamo «preliminary notice».
Bozza di notifica ai soggetti + FAQ per lo zapport; Missaggi PR.
Verifica fornitori/processori: query report, registri eventi.

T24-72 ore

Invia una notifica al regolatore (se necessario); logica di invio.
Finalizzazione della serie di misure di attenuazione (cambio forzato delle password, rotazione delle chiavi, limiti di tempo delle operazioni, 2FA).
Preparare una dichiarazione pubblica (se necessario), avviare una linea telefonica/bot.

Dopo 72 ore.

Report aggiuntivi al regolatore quando viene scoperto; post mortem; aggiornamento delle regole e del controllo.

10) Gestione degli appaltatori e della catena di lavorazione

DPA/responsabilità del processore contrattuali: notifica immediata, feed 24/7, SLA per il rapporto primario (ad esempio 24 ore).
Diritto del controllore di controllare/controllare le misure di protezione.
Registrazione obbligatoria di tutti gli incidenti dell'appaltatore e delle misure adottate.
Estendere gli obblighi ai sottoprodotti.

11) Categorie speciali e gruppi a rischio

I bambini, la salute, la finanza, la biometria, le credenziali sono quasi sempre ad alto rischio di dare priorità ai soggetti.
Fughe combinate (PII + crediti/token): rotazione forzata immediata e token disabili.
Geo-particolare: alcuni stati/paesi richiedono di informare gli uffici crediti/mediatori su larga scala.

12) Contenuto e forma delle comunicazioni

Lingua comprensibile (B1), senza gergo tecnico.
Personalizzazione delle richieste, se possibile; altrimenti - annuncio pubblico e e-mail/pasto in combinazione.
Canali: e-mail + SMS/guaio (in caso di criticità) + striscione sull'account; per le valigette di massa, postazioni pubbliche e FAQ.
Non inserire riferimenti simili al phishing nelle lettere; suggerire un percorso tramite il sito/applicazione ufficiale.

13) Documentazione e conservazione dei record

Registro degli incidenti: data/ora, rilevamento, classificazione, decisione sulle notifiche e la sua giustificazione, testi di notifica, mailing list, prove di invio, risposte dei regolatori, misure di rimediazione.
Conservazione secondo modalità (ad esempio PIPEDA) di almeno 24 mesi Per altro: 3-6 anni di tempo interno).

14) Sanzioni e responsabilità

Le multe dei regolatori (nell'UE sono significative in caso di violazioni sistemiche o di ignoranza della scadenza);

Cause dei soggetti, prescrizioni di modifica delle pratiche di sicurezza;

Obblighi di monitoraggio e reportage dopo l'incidente.

15) Errori tipici

Ritardo dovuto al «perfezionismo»: attesa per il quadro completo invece di preavviso tempestivo.
Sottovalutazione dei rischi indiretti (phishing dopo fuoriuscita e-mail + FIO).
Mancanza di coerenza tra i team (avvocati/PR/sicurezza/supporto).
Contatti non rilevanti tra i controllori e la Country Matrix.
Ignorare i requisiti contrattuali dei processori e dei sottoprodotti.

16) Foglio di assegno pronto (prima dell'incidente)

1. Approva l'Insert Response Policy con ruoli e canali 24/7.
2. Assegnare un DPO/responsabile e fiduciari per comunicare con i regolatori.
3. Preparare Country Matrix: date, destinatari, soglie, moduli.
4. Modelli di posta finiti: regolatore, entità, media, FAQ per lo zapport.
5. Aggiorna il registro dei guadagni, la mappa dei dati e l'elenco dei processori/sottoprodotti.
6. Eseguire l'esercitazione di tabella top ogni 6-12 mesi.
7. Includi in DPA: notifica entro X ore, rapporto primario obbligatorio, controllo dei logi.
8. Abilita crittografia a riposo e transito, controllo chiavi, segreto-rotazione.
9. Monitoraggio anomalie di accesso ai dati e avvisi automatici.
10. Preparare un PR-playbook e un criterio di dichiarazione pubblica.

17) Mini-matrice giurisdizione (punto di riferimento riepilogativo)

Regione/modalitàRegolatoreNotifica al regolatoreNotifica ai soggettiNote speciali
EU/EEA (GDPR)DPA nazionale72 oreNessun ritardo a rischio elevatoTenere il registro di tutti gli incidenti
UK GDPRICO72 oreNessun ritardo a rischio elevatoMessaggio anche in caso di rilevamento tardivo, con spiegazione
Canada (PIPEDA)OPCIl prima possibileIl prima possibile con il «rischio di danni»Il registro ≥ 24 mes.
Singapore (PDPA)PDPC3 giorni dopo la valutazioneNessun ritardo nel valore. rischiTest di soglia «significant harm»
Brasile (TGPD)ANPDTempo ragionevoleTempo ragionevole per i rischiPreavviso rapido consigliato
Australia (NDB)OAICDopo la valutazione di 30 giorniIl prima possibileCriteri «elegibile data breach»
Stati Uniti (Stati Uniti)AG/altriVaria (30-60 giorni). o «senza ritardo»)Sì, a seconda delle soglieSpesso requisiti per l'ufficio crediti
EMIRATI ARABI UNITI/ADGM/DIFFERC. organiFrequentemente} 72 oreAd alto rischioControlla regole locali
India (DPDP)Autorità DPIn base alla procedura installataIn base alla procedura installataControlla i regolatori

(Matrice - punto di riferimento. Controllare le norme attuali prima di applicarle.)

18) Modelli di documento (conservare nel repository)

Incident Response Policy + Runbook 72h

Data Breach Notification — Regulator (draft/preliminary/final)

Data Breach Notification — Individuals (e-mail/SMS/баннер/FAQ)

Press Statement & Q&A

Processor Breach Report Form (per gli appaltatori)

Lessons Learned / Post-mortem template

Country Matrix. xlsx (contatti regolatori, scadenze, soglie)

19) Output

Il successo del corridoio legale durante la fuoriuscita è velocità + documentazione e comunicazione trasparente. Il principio è semplice: un rapido preavviso, istruzioni chiare agli utenti, un coordinamento chiaro con i regolatori e gli appaltatori, e poi un completamento dei dettagli durante le indagini. Esercitazioni regolari e un insieme aggiornato di modelli riducono i rischi legali e di reputazione nel momento più critico.

💡 Il materiale è di natura visiva e non è una consulenza legale. Prima di agire in una specifica giurisdizione, attenersi alle norme locali e ottenere un parere di profilo.
Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.