Come comportarsi in azienda in caso di violazione di dati personali

Il 14 gennaio 2021 il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato le Linee Guida operative per la gestione della violazione dei dati, documento che espressamente va ad integrare le precedenti indicazioni adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017. Il profilo particolarmente pratico di questo nuove indicazioni permette di valorizzarle sotto due fondamentali aspetti che le imprese devono tener conto, strettamente connessi e conseguenziali.

  • I suggerimenti operativi forniti permettono di agire su più livelli: prevenzione, reazione e valutazione sull’obbligo di notifica.
  • Particolare attenzione va posta sotto il profilo dell’accountability (cioè della propria responsabilità). L’Autorità ci ha fornito istruzioni e strumenti con cui operare: giustificare di non averli adottati in modo adeguato diviene sempre più difficile. Quindi, attenzione.

Il Comitato presenta una serie di esempi, sviluppati in diverse prospettive (tipologia e quantità di dati, contesto, rischio, ecc.), in modo da fornire un preciso quadro sulle attività che il titolare deve compiere a tutela della privacy dei soggetti interessati al data breach; i casi analizzati riguardano violazioni determinate da:

  • ransomware;
  • esfiltration (termine di difficile traduzione che potrebbe essere inteso come fuoriuscita di dati);
  • fonti umane;
  • ingegneria sociale;
  • furto o perdita di dispositivi;
  • furto o perdita di documenti cartacei.

Nel ricordare che per violazione si intende un evento che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati, è fondamentale comprendere che un data breach non è necessariamente un attacco informatico, anzi statisticamente una violazione può essere determinata per ben altre ragioni. È significativo, infatti che l’EDPB prenda espressamente in considerazione le ipotesi di violazione determinate proprio da fonti umane, ingegneria sociale o che coinvolgano documenti cartacei.

Vale la pena, infatti, soffermarsi sulle ipotesi che coinvolgono proprio i dipendenti. Il Comitato sottolinea come, essendo molto complesso prevenire le varie tipologie di violazioni (proprio perché possono derivare non soltanto da un comportamento malevolo, ma anche solo accidentale o erroneo), il titolare potrebbe prevedere una specifica clausola nel contratto, o nelle istruzioni interne, che vieti alcune specifici comportamenti particolarmente rischiosi ovvero inserisca vincoli nel caso in cui il dipendente non faccia più parte dell’azienda.

  • omessa cifratura;
  • non corretta gestione dell’autenticazione degli utenti a siti web;
  • politiche password deboli;
  • errore nell’invio di mail ai destinatari sbagliati o invio con un allegato sbagliato;
  • mancanza di consapevolezza dei rischi da parte dei dipendenti;
  • poca formazione adeguata;
  • errore umano.

Ma poiché il documento ha come principale obiettivo quello di essere di aiuto e supporto alle imprese titolari del trattamento il Board indica, sia pur in modo meramente esemplificativo, svariate misure di sicurezza che possono essere adottate e che qui di seguito andiamo a sintetizzare:

  • istruzioni puntuali al personale su come inviare le email;
  • inserimento by default degli indirizzi nel campo bcc quando una email abbia più destinatari;
  • richiesta di una ulteriore conferma nell’invio della mail a più destinatari che non siano stati inseriti nel campo bcc;
  • organizzazione di una sessione di formazione sugli incidenti più frequenti derivanti dagli errori più comuni;
  • disattivazione del completamento automatico durante la scrittura di una email.
  • adottare adeguate misure di criptazione dei dati e di gestione delle password, soprattutto quando il trattamento ha ad oggetto dati sensibili o finanziari;
  • mantenere costantemente aggiornati i sistemi e tenere traccia di tali aggiornamenti, di modo da poter dimostrare la compliance con il principio di accountability;
  • fare ricorso a strumenti di autenticazione “forti” (ad esempio l’autenticazione a due fattori) e adeguate policy di gestione e aggiornamento delle password;
  • condurre audit e assessment periodici per verificare la costante adeguatezza delle misure;
  • mantenere aggiornate le copie di backup in modo assicurarsi la possibilità di procedere rapidamente al recovery dei dati e delle informazioni;
  • adottare piani di disaster recovery e business continuity.

Concludiamo nel ricordare che poco tempo fa il Garante Privacy ha rinnovato il sistema di notifica telematica del data breach a cui si può accedere direttamente tramite il sito dell’Autorità. Ma ciò che è più importante tenere bene a mente è che il modello di comunicazione, tra le varie indicazioni, richiede al titolare quali misure di sicurezza erano già operative e quali intende predisporre. Misure di sicurezza che oggi, con l’emanazione delle Linee Guida in commento, conosciamo e che pertanto, sebbene il documento non abbia valore di legge, il titolare ha l’obbligo di verificare e predisporre a tutela dei dati.

Nei Considerando del Regolamento leggiamo infatti che una violazione può comportare danni fisici, materiali o immateriali per le persone fisiche i cui dati sono stati violati come ad esempio discriminazione, furto d’identità, danni reputazionali, perdite finanziarie, perdita di riservatezza dei dati personali protetti da segreto professionale ecc.

Please follow and like us:
Sede provinciale di Terni: Via Annio Floriano 5, 05100 Terni
Tel: 0744-433647 , Fax: 0744-437073, E-mail: terni@fismic.it - Powered by Deegita.com