Cosa fare in caso di incidente che comporta una violazione di dati personali
Ho copiato un database di clienti su una chiavetta USB criptata ma l’ho persa o mi è stata rubata. Alcuni risponderebbero: “Me ne sto zitto, perché ho una copia”.
Altri, più “addentro” le questioni Gdpr, si chiederebbero: “Devo notificare l’accaduto al Garante? Devo comunicarlo a tutti gli interessati i cui dati erano sulla chiavetta?”
Esempi come questi e relative risposte (che sono dei “no”, in questo caso!) sono contenute nell’ultima versione delle #LineeGuida9/2022 del gruppo dei Garanti Europei (Edpb) sulla notifica dei data breach: sono molto utili, soprattutto per chi affronta per la prima volta questioni di questo genere o non è molto esperto di Gdpr e “incidenti”.
Come spesso viene precisato, infatti, non tutti gli incidenti che avvengono in azienda comportano una violazione di dati personali mentre, al contrario, queste ultime sono sempre anche incidenti di sicurezza.
Il Gdpr si occupa degli incidenti perché una violazione di dati personali, potenzialmente, potrebbe avere conseguenze negative sulle persone e in particolare danni fisici, materiali o immateriali, come la perdita di controllo sui propri dati, la limitazione dei propri diritti, la discriminazione, il furto o la frode di identità, perdite finanziarie, danni alla reputazione o la perdita di riservatezza di dati protetti da segreti professionali.
Per fortuna le conseguenze più gravi non capitano con frequenza, ma è importante sapere che in tutti i casi in cui avviene una violazione di dati personali, ci sono delle cose da fare.
E questo vale anche se il fatto capita per semplice colpa o disattenzione; molte persone, infatti, pensano che l’incidente avvenga solo quando qualcuno deliberatamente provoca qualcosa, ma non è così. Perdere un documento contenente dati personali, anche se ne avessimo una copia, è in ogni caso un incidente e bisogna attivarsi, sempre (non fosse altro che per capire cosa è successo…).
Qui sotto, per esempio, c’è un utile “schema” di cosa ognuno di noi dovrebbe sapere.
Nelle Linee Guida, come detto, ci sono, alla fine (lettera B. “Esempi”) casi semplici ma utili per capire come comportarsi.
Un’altra cosa che, infine, molte aziende non sanno è che non solo bisogna “annotare” tutte queste evenienze ma, soprattutto, fare delle valutazioni per capire se ci siano dei rischi per le persone.
E’ questa, probabilmente, la fase più complessa, che deve essere affrontata di volta in volta e spesso non è agevole da gestire, perché in molti casi gli attori coinvolti sono diversi, come succede quando l’incidente capita a un nostro fornitore.
Il link al documento.
#data protection #privacy #databreach