ITALIANOINGLESE

Notizie
VIOLAZIONE DEI DATI: LA GUIDA OPERATIVA DEL COMITATO EUROPEO EDPB DEDICATA ALLE AZIENDE

Autore / Fonte:
VIOLAZIONE DEI DATI: LA GUIDA OPERATIVA DEL COMITATO EUROPEO EDPB DEDICATA ALLE AZIENDE
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato, il 14 gennaio 2021, le Linee Guida operative per la gestione della Violazione dei dati in azienda (in allegato), una integrazione alle precedenti indicazioni adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017.

Si tratta di linee guida pratiche e risolutive, che permettono di agire su più fronti:

quello della prevenzione, quello della reazione e quello della valutazione, con particolare attenzione sotto il profilo dell’accountability, ossia della propria responsabilità.

Nella Guida vengono riportati alcuni esempi delle attività che i dirigenti aziendali devono attuare per la tutela della privacy dei soggetti interessati al data breach, riguardanti le violazioni causate da:

•    fonti umane;
•    furto o perdita di dispositivi;
•    furto o perdita di documenti cartacei;
•    ransomware;
•    esfiltration (“ fuoriuscita di dati”);
•    ingegneria sociale.

Il data breach non è sempre derivante da un attacco informatico, ma può essere causato da diversi fattori, a volte accidentali, che causano la divulgazione non autorizzata, l’accesso ai dati personali trattati, la modifica, la perdita e/o la distruzione dei dati.

L’EDPB prenda infatti in esame proprio quelle ipotesi di violazione causate da fonti umane, ingegneria sociale o che riguardano i documenti cartacei. È importante soffermarsi, infatti, sulle ipotesi che riguardano proprio i dipendenti, e le loro azioni all’interno (ed all’esterno) dell’azienda.

Poiché questo tipo di violazioni sono praticamente impossibili da prevenire, visto che si tratta, come abbiamo detto, non solo di illeciti voluti, ma anche di distrazioni o errori, i dirigenti aziendali potrebbero pensare a delle clausole contrattuali o delle istruzioni che vietino determinati comportamenti ritenuti rischiosi, o di inserire dei vincoli che siano validi nei casi in cui il dipendente non faccia più parte dell’azienda. I dirigenti possono poi effettuare dei controlli difensivi per mezzo di una agenzia investigativa per assicurarsi che ogni indicazione venga rispettata o che non siano in atto comportamenti malevoli intenzionali, per arginare o prevenire i danni al patrimonio aziendale.

Le Linee Guida fanno emergere quei comportamenti che si ripetono all’interno dell’azienda, e che possono provocare la violazione dei dati:
•    l’errore umano;
•    la carenza della formazione del personale;
•    la mancata consapevolezza dei rischi, da parte dei dipendenti;
•    l’errore nell’invio delle mail o degli allegati;
•    l’uso di password troppo facili, quindi facilmente violabili;
•    l’autentificazione non corretta degli utenti ai siti;
•    l’omessa cifratura.

In supporto ed in aiuto dei dirigenti, la Guida propone anche degli interventi mirati alla risoluzione dei comportamenti succitati, come ad esempio:
•    istruzioni su come gestire la posta elettronica e gli indirizzi mail che si utilizzano più frequentemente;
•    sessioni di formazione sugli incidenti più comuni;
•    disattivazione del completamento automatico durante la scrittura di una email;
•    adeguate misure di criptazione dei dati e di gestione delle password;
•    aggiornamento dei sistemi e tracciamento;
•    ricorrere a strumenti di autenticazione più complessi, come l’autenticazione a due fattori;
•    adeguate policy sulla gestione degli accessi e delle password;
•    aggiornare costantemente il backup per agevolare il recovery dei dati;
•    adottare piani di disaster recovery e business continuity.

Una violazione dei dati, che sia essa volontaria o involontaria, può causare dei danni fisici, materiali ed immateriali ai soggetti i cui dati sono stati violati, come furti di identità, danni alla loro reputazione, discriminazioni, perdite economiche, violazioni di segreti professionali e molto altro.
Per questo l’attenzione delle aziende deve essere massima, senza mai sottovalutare né rischi esistenti né quelli possibili.

Scarica l'allegato
Guida operativa al data breach.pdf


Servizi associati a questa notizia

Richiedi informazioni su SMART WORKING E CONTROLLI DIFENSIVI

----