DATA BREACH VIOLAZIONE DEI DATI PERSONALI IN AZIENDA

DATA BREACH VIOLAZIONE DEI DATI PERSONALI IN AZIENDA

Il 14 gennaio 2021 il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato le Linee Guida operative per la gestione della violazione dei dati:

  • Indicazioni operative di prevenzione, reazione e valutazione sull’obbligo di notifica.
  • Principio dell’ Accountability responsabilità da parte dell’Azienda di dimostrare che si è attuato le misure di sicurezza adeguate per prevenire la perdita di dati

Le principali violazioni di Data Breach che potrebbero causare la perdita di dati:

  • ransomware;
  • esfiltration (fuoriuscita di dati);
  • fonti umane;
  • ingegneria sociale;
  • furto o perdita di dispositivi;
  • furto o perdita di documenti cartacei.

Per Violazione si intende un evento che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la diffusione o l’accesso ai dati personali trattati, Per Data breach non si intende necessariamente un attacco informatico, una violazione può essere determinata per ben altre ragioni. l’EDPB prende espressamente in considerazione ipotesi di violazione determinate da fonti umane che coinvolgano dati personali su supporti informatici o documenti cartacei.

Vale la pena, infatti, soffermarsi sulle ipotesi che coinvolgono proprio i dipendenti. Le varie tipologie di violazioni possono derivare da un comportamento malevolo, accidentale o da errore umano. Il Titolare del trattamento potrebbe prevedere specifiche clausole in contratti o lettere di nomina di incaricati / autorizzato al trattamento per vietare comportamenti particolarmente rischiosi fino a prevedere vincoli quando il dipendente non faccia più parte dell’Azienda:

Gli Errori in Azienda che determinato violazioni dei dati:

  • errore umano
  • omessa cifratura dei dati personali;
  • corretta autenticazione degli utenti;
  • password inesistenti o deboli;
  • invio di mail ai destinatari sbagliati o con un allegato errato;
  • mancanza di consapevolezza dei rischi da parte dei dipendenti incaricati al trattamento dati;
  • mancanza di Formazione adeguata in materia di Privacy GDPR;

Misure di Sicurezza da adottare::

  • adeguata Privacy Policy
  • istruzioni su come inviare le email;
  • inserimento corretto di indirizzi email nel campo Ccn quando una email è riferita a più destinatari;
  • formazione in materia di Cyber Security;
  • disattivazione del completamento automatico durante la scrittura di una email.
  • adottare adeguate misure di criptazione dei dati e di gestione delle password,
  • Aggiornamento automatico dei sistemi, principio di accountability;
  • introdurre strumenti di autenticazione “forte”, autenticazione a due fattori, gestione e aggiornamento delle password;
  • audit periodici per verificare la costante adeguatezza delle misure;
  • Politica sistematica di salvataggio e backup, recovery e ripristino dei dati;
  • Policy di Disaster Recovery e Business Continuity.

Ricordiamo inoltre che il Garante Privacy nei Considerando del Regolamento Europeo ha precisato che la violazione può comportare danni fisici, materiali o immateriali per le persone fisiche i cui dati sono stati violati come ad esempio discriminazione, furto d’identità, danni reputazionali, perdite finanziarie, perdita di riservatezza dei dati personali protetti da segreto professionale.

CONSIGLIAMO I SEGUENTI CORSI ONLINE:

CORSO ONLINE SICUREZZA INFORMATICA CYBER SECURITY

CORSO ONLINE AGGIORNAMENTO PRIVACY GDPR