Data: 30/01/2021 13:00:00 - Autore: Gabriella Lax

Data breach: le istruzioni per gestire le violazioni di dati

[Torna su]

Cosa si deve fare in caso di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? a fornire le riposte ci pensano le Linee guida, adottate dall'Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio. Le "Guidelines 01/2021 on Examples regarding Data Breach Notification", approvate nella riunione plenaria del 14 gennaio scorso, si basano sull'analisi dei casi più significativi di violazione dei dati – affrontati dai Garanti privacy nazionali, incluso quello italiano – subiti da banche, ospedali, medie imprese, municipalità, società che offrono servizi online di vario genere. La notizia è stata diffusa dall'autorità con la newsletter n. 472 del 25 gennaio 2021. Ricordiamo che Il Garante per la protezione dei dati personali ha introdotto un nuovo servizio al fine di supportare i titolari del trattamento in vista degli adempimenti previsti in caso di violazione dei dati personali (vedi anche Violazione privacy: il nuovo servizio online Data breach). Inoltre sul documento l'Edpb ha avviato una consultazione pubblica per un periodo di sei settimane (fino al 2 marzo 2021).

Il contenuto delle linee guida

[Torna su]

Le linee guida presentano, per ciascuna casistica, esempi di buone o cattive pratiche, e raccomandano modalità di identificazione e valutazione dei rischi (evidenziando i fattori che meritano particolare considerazione), indicano in quali casi chi tratta i dati deve notificare la violazione all'Autorità Garante e, se necessario, informare le persone coinvolte. Si parla dell'omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate. Potrebbe facilitare violazioni anche la non corretta gestione dell'autenticazione degli utenti a siti web, magari a causa dell'utilizzo di password deboli o conservate in chiaro. Peggiori le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) ai referti e ad altri documenti dei pazienti di un ospedale, a meno che la struttura sanitaria non abbia provveduto a effettuare un backup separato dei dati. Da non sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati.

La lista di misure

[Torna su]

Infine, nel testo, che integra e aggiorna gli orientamenti già forniti negli anni passati dal Gruppo "Articolo 29", proprio per offrire un contributo concreto a imprese e Pa, c'è l'analisi delle misure adottate dai titolari del trattamento, prima di aver subito un data breach, per prevenire o attenuare i rischi di una potenziale violazione dei dati. E propone una lista di misure di prevenzione ai vari problemi rilevati.


Tutte le notizie