Napoli e Omignano-Scalo
+39 081 19750217
formazione@selefor.it

Data Breach, cos’è e come prevenirlo.

Innanzitutto cos’è il data breach?

Secondo la definizione del Garante per la protezione dei dati personali si tratta di “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.”

Cosa fare in caso di data breach.

Nel caso in cui ci si trovi a fronteggiare un’esperienza simile a causa di una fuoriuscita di dati, di perdita o furto di dispositivi e documenti cartacei, è necessario fare riferimento alle linee guida 01/2021, adottate dall’Edpb (Comitato europeo per la protezione dei dati) approvate nella riunione plenaria del 14 gennaio scorso.

Puoi consultarle qui: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_en

All’interno di queste linee guida si possono trovare casi di violazione dei dati già affrontati dai Garanti privacy, e a cui fare riferimento. Vi si trovano anche i fattori di rischio da prendere in considerazione, buone e cattive pratiche per la gestione dei dati personali, indicazioni su quali casi richiedano di notificare la violazione all’Autorità Garante e, se necessario, di informare le persone coinvolte. Si tratta di un vero e proprio vademecum da avere sempre sotto mano per chi si occupa del trattamento dei dati.

Prevenire le violazioni dei dati

Le linee guida contengono anche le analisi delle misure adottate dai titolari del trattamento prima di aver subito un data breach, utili per capire come prevenire i rischi di una potenziale violazione dei dati.

Quali sono gli errori più frequenti? Facciamo qualche esempio:

  • l’omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate;
  • una non corretta gestione dell’autenticazione degli utenti a siti web, a causa dell’utilizzo di password deboli o conservate in chiaro;
  • l’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti, informazioni che facilitano l’accesso illecito a contenuti che dovrebbero rimanere protetti;
  • essere oggetto di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) verso i propri dati;
  • spedire e-mail ai destinatari sbagliati;

Oltre alla consultazione delle linee guida, è sempre raccomandabile assumere la figura del Data Protection Officer per assicurare che il proprio trattamento dei dati personali sia svolto in compliance al GDPR e norme privacy.

 

Fonte: “GARANTE PER LA PROTEZIONE DEI DATI PERSONALI” https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9525359