Written by 1 Febbraio 2021 15:18 Media, Wired Italia

Cosa deve fare un’azienda in caso di data breach e violazione della privacy

cybersecurity

di Vincenzo Tiani

Il 14 gennaio il comitato dei garanti europei per la protezione dei dati (Edpb) ha pubblicato le sue linee guida per aiutare aziende e professionisti in caso di data breach. Aperto a feedback fino al 2 marzo, questo documento include esempi più pratici rispetto al precedente pubblicato nel 2017 e tiene conto dell’evoluzione degli attacchi informatici degli ultimi anni.

Il data breach, ricordiamolo, può prevedere una “violazione della riservatezza” – quando c’è una divulgazione non autorizzata o accidentale di, o accesso, ai dati personali; una “violazione dell’integrità” – quando si verifica un’alterazione non autorizzata o accidentale dei dati personali; una “violazione della disponibilità” – quando c’è una perdita accidentale o non autorizzata di accesso o distruzione di dati personali. I danni possono andare dalla mera divulgazione della propria mail ad azioni di phishing, prelievi dal conto corrente, rivelazioni di informazioni riservate.

A seconda della gravità del data breach, che può derivare da un attacco mirato o essere del tutto fortuito, il regolamento europeo sui dati personali, il Gdpr, prevede tre possibilità tra loro cumulabili (articoli 33 e 34): la documentazione interna dell’accaduto, la comunicazione al garante se si ravvisa un rischio per i diritti e le libertà degli interessati e la comunicazione agli interessati se questo rischio è considerato alto. Nella comunicazione, che va fatta entro 72 ore dal momento in cui si venga a conoscenza dell’accaduto, va descritta la natura della violazione indicando il tipo di dati interessati (se ad esempio si tratta di dati particolari), il numero, le circostanze, le probabili conseguenze della violazione e le misure adottate o proposte dal responsabile del trattamento per affrontare la violazione dei dati personali, comprese, se del caso, le misure per mitigarne i possibili effetti negativi. 

Poiché tale valutazione non è semplice da fare e deve tenere in considerazione diversi fattori, il comitato dei garanti ha proposto nelle sue linee guida diciotto esempi che comprendono casi tipici come i ransomware, attacchi di esfiltrazione di dati, perdite di dati dovute all’errore umano, perdita o furto di dati su dispositivi e documenti cartacei, ingegneria sociale.

Leggi tutto l’articolo su Wired Italia.

Related Posts

Garante Privacy

Garante Privacy, NEWS DAL MERCATO

31 Maggio 2022

Pubblicata la newsletter di Maggio 2022 del Garante

Il Garante ha pubblicato l’ultima newsletter di Maggio 2022

Read More
EDPB

EDPB, NEWS DAL MERCATO

21 Marzo 2022

EDPB chiede feedback sulle linee guida sui dark pattern nei social media

Le linee guida offrono raccomandazioni agli utenti delle piattaforme di social media su come valutare ed evitare dark pattern

Read More
a2a

Convegni, EVENTI

17 Gennaio 2022

Vincenzo Tiani ospite di A2A Energia per parlare di data breach

? 18 Gennaio 2022

Read More
IAPP 22 giugno 2021

IAPP, Media

22 Giugno 2021

IAPP Rome Chapter con Ignacio Gomez Navarro (EDPB) per il post Schrems II

Ignacio Gomez Navarro dell’EDPB ha presentato le misure supplementari alle SCC per i trasferimenti di dati personali verso Paesi terzi

Read More

Comments are closed.

Close
Categorie
Archivi