© 2023 Studio Emme della dott.ssa Mariangela Moretto p.i. 02435900747

  • Grey LinkedIn Icon
  • Grey Twitter Icon
  • Grey Facebook Icon
LOGO-NAZIONALE.png
Please reload

Post recenti

Partecipa alla nostra campagna professionale 2020!

November 18, 2019

1/2
Please reload

Post in evidenza

Il Privacy Sweep 2019 e l'ombra del Data Breach.

September 30, 2019

Il 23 settembre scorso ha avuto inizio il "Privacy Sweep 2019", un’indagine annuale a carattere internazionale rivolta quest’anno alla gestione dei Data Breach da parte di soggetti pubblici e privati. Le Autorità di protezione dati che svolgeranno l’indagine avranno il compito di esaminare, sui rispettivi territori nazionali, le misure adottate dai titolari dei trattamenti per gestire le violazioni dei dati personali nel settore dell’e-commerce attraverso l’analisi di un campione significativo di aziende.

 

Ma che cos’è il Data Breach e come dobbiamo comportarci nella sfortunata circostanza di esserne coinvolti?

Con la locuzione Data Breach ci si riferisce all’accidentale o illecita distruzione, perdita, modifica, divulgazione ossia al non autorizzato accesso con qualsivoglia conseguenza ai dati personali trasmessi, conservati o comunque trattati.

Col manifestarsi della violazione di sicurezza, il GDPR prevede che, se come conseguenza sussiste un rischio per i diritti e le libertà delle persone fisiche, la notifica al Garante debba avvenire senza ingiustificato ritardo entro 72 ore, dal momento in cui si è venuti a conoscenza del Data Breach, significando che qualsiasi eventuale ritardo dovrà essere motivato.

 

Per farci un’idea, se vi dovessero rubare il PC portatile con al suo interno salvati i file con le informazioni relative ai vostri clienti ovvero pazienti, vi trovereste nel bel mezzo di un Data Breach e scatterebbe il conto alla rovescia delle 72 ore per compiere i seguenti tre passaggi:

 

Primo passo: Valutare il rischio derivante dalla violazione per i diritti e le libertà delle persone fisiche cui si riferiscono i dati oggetto di Data Breach. A tal fine ci viene in aiuto il lavoro svolto dal Gruppo di lavoro “WP29”, che nel 2018 ha reso disponibili le linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679, specificando che la valutazione dovrà prendere in considerazione: tipo di violazione; natura, carattere sensibile e volume dei dati personali; facilità di identificazione delle persone fisiche; gravità delle conseguenze per le persone fisiche; caratteristiche particolari dell’interessato; caratteristiche particolari del titolare del trattamento dei dati; numero di persone fisiche interessate e altri aspetti, per cui si rimanda alle linee guida nella loro versione integrale.

 

Secondo passo: A questo punto dovrete scegliere tra i tre scenari possibili:

  1. Improbabili rischi per i diritti e le libertà delle persone fisiche.

  2. Probabili rischi per i diritti e le libertà delle persone fisiche.

  3. Elevati rischi per i diritti e le libertà delle persone fisiche.

Terzo passo: Agire in base al tipo di scenario scelto:

  1. In presenza di improbabili rischi per i diritti e la libertà  delle persone fisiche, in quanto ad esempio avete adottato un sistema di salvataggio con cifrature dei dati escludendo pertanto qualsiasi rischio di accesso e lettura delle informazioni, non si dovrà effettuare la notifica al garante, ma sarà sufficiente, a fronte del principio di accountability, che voi lasciate traccia scritta della violazione subita, altresì motivando le valutazioni per cui avete ritenuto che la stessa non presentasse i predetti rischi.

  2. Se il rischio come precedentemente descritto è probabile, dovrete effettuare la notifica al Garante privacy entro le 72 ore da quando siete venuti a conoscenza del fatto e conseguente probabile violazione.

  3. Nel caso di rischi elevati, oltre a notificare la violazione subita all’Autorità Garante, come titolari del trattamento, dovrete informare del Data Breach anche tutti gli interessati per mezzo di un’apposita comunicazione.

 

Vediamo ora che come va strutturata la notifica al garante e l’eventuale comunicazione all'interessato.

Nella fattispecie della comunicazione al garante si dovrà:

  1. Descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

  2. Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

  3. Descrivere le probabili conseguenze delle violazioni dei dati personali;

  4. Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche per attenuarne i possibili effetti negativi.

 

La comunicazione all'interessato, secondo quando previsto dal GDPR all’art. 34 dovrà descrivere con un linguaggio semplice e chiaro la natura della violazione. Tuttavia, non è necessario effettuarla se:

  1. Il titolare del trattamento ha messo in atto le misure tecniche ed organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

  2. Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

  3. Detta comunicazione richiederebbe sforzi sproporzionati. In tale caso, si procede invece a una comunicazione pubblica o a una misura simile.

 

Converrete con me che anche in questo caso torna utile il buon vecchio detto: “prevenire è meglio che curare”, pertanto vorrei proporvi qualche spunto su come tenervi il più possibile lontani da un Data Breach.

 

- Adottate e aggiornate periodicamente i vostri sistemi di sicurezza sia di tipo passivo es. cifratura, chiavi di accesso ecc. che attivo come buoni livelli di confidenzialità e integrità con i vostri interlocutori.

 

- verificate periodicamente l’affidabilità dei vostri sistemi di archiviazione dati aggiornando le tecnologie impiegate per restare sempre al passo con i tempi soprattutto in termini di protezione contro i nuovi metodi di violazione di hacker, virus, cyber spionaggio ecc.

 

- limitate il volume di dati particolari, ovvero evitatene del tutto la presenza, sui sistemi di archiviazione portatile quali pc laptop, chiavette ecc. utilizzando cloud storage con accessi propriamente configurati e resi sicuri con chiavi sufficientemente complesse ed aggiornate frequentemente in eventuale abbinamento al riconoscimento della vostra impronta digitale, opportunità ormai disponibile sulla maggior parte dei dispositivi in circolazione.

 

Come sempre, noi di Studio EMME siamo a vostra disposizione per coadiuvarvi in qualsiasi allestimento software e hardware per proteggere al meglio i dati personali in vostra custodia, nonché per fornirvi la migliore assistenza possibile nell’eventualità di un Data Breach. 

 

 

Share on Facebook
Share on Twitter
Please reload

Seguici