GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/623/01.jpg
martedì 18 gennaio 2022
di Dott. Alessandro Mammoli
Le nuove linee guida forniscono esempi concreti di notifiche di data breach: una guida pratica per notificare le violazioni di dati personali concentrando l'attenzione sul rischio umano.
L'EDPB ha adottato le nuove linee guida
L'European Data Protection Board ha adottato nella sessione plenaria di Dicembre la versione definitiva delle nuove linee guida per la notifica dei data breach. La volontà è stata quella di fornire indicazioni pratiche e concrete per gestire il data breach e il rischio correlato, con forte attenzione sul "rischio umano", sia esso intenzionale o involontario.
Insomma, sono linee guida concrete che articolano i principi del GDPR e li declinano e puntualizzano nella realtà, tenendo conto dell'esperienza e della casistica occorsa dall'entrata in vigore della normativa. Sono pensate per i titolari e i responsabili del trattamento.
I fattori di rischio più comuni
Le linee guida elencano le principali categorie di rischio e forniscono case studies che fungono da veri e propri modelli per titolari e responsabili. I momenti analizzati sono la fase di valutazione dei rischi connessi al trattamento e quella che si avvia dal momento dell'individuazione di un data breach.
I fattori di rischio elencati sono:
Il titolare e il data breach: che cosa deve fare?
Il titolare del trattamento deve annotare la violazione e notificare il data breach nei casi in cui si possa riscontrate un rischio per i diritti e la libertà degli interessati. Il breach va comunicato direttamente anche all'interessato nel caso in cui la violazione “sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Tutto senza "ingiustificato ritardo": insomma il titolare del trattamento ha pochissimo tempo per notificare il breach e le tipologie di dati sottratti. In questo breve lasso di tempo il titolare deve anche perimetrare la violazione, così da impostare le azioni successive per mitigare il rischio. Il titolare deve quindi presentare un alto livello di organizzazione, interno ed esterno. Per questo l'EDPB consiglia l'istituzione di un libro mastro sul data breach, con le procedure tecniche ed organizzative da mettere in campo per affrontare tempestivamente il breach, fornendo anche la modulistica necessaria secondo gli obblighi normativi.
Per approfondire > La filiera della privacy nelle aziende
Quali tipi di data breach?
L'EDPB ha identificato tre tipologie di data breach:
L'anello debole della catena: l'essere umano
Se è comune pensare che una violazione dei dati avviene perchè sono violati i dispositivi che li contengono, meno attenzione si presta invece al rischio umano. L'EDPB invece fa l'operazione opposta, descrivendo con abbondanza di esempi e case studies quei rischi correlati al fattore umano. Ecco la casistica:
Tra le misure di mitigazione, l'EDPB consiglia di citare in giudizio l'ex dipendente onde evitare che possa abusare ulteriormente dei dati aziendali detenuti illecitamente.
E' un Confidentialy breach: viene lesa la confidenzialità del dato, ma questo rimane disponibile e integro. L'annotazione del breach nella documentazione aziendale è tutto quanto è sufficiente. Nel caso la trasmissione di dati riguardi dati sensibili o comunque un numero elevato di persone, si rende comunque necessaria la notifica al Garante e la comunicazione agli interessati.
Misure di sicurezza e tecnico organizzative consigliate
Il GDPR non prevede né specifica precise misure di sicurezza o tecnico-organizzative, fatto che è stato fonte di non poche difficoltà pratiche nell'applicazione del GDPR ai trattamenti. Alla luce dell'esperienza pregressa, l'EDPB finalmente fornisce un elenco esplicito di misure per mitigare il rischio umano:
Il testo completo delle linee guida per le notifiche e la gestione del rischio di data breach è disponibile qui
CONDIVIDI QUESTA PAGINA!