Blog
Notizia
Alex Franchi

Prevenzione delle violazioni dei dati: 10 esempi di violazioni dei dati e come prevenirle

Prevenzione delle violazioni dei dati: 10 esempi di violazioni dei dati e come prevenirle

Titolo 2
Titolo 3
Condividi questo contenuto

Contenuto

  • Come prevenire una violazione dei dati?
  • Cos'è una violazione dei dati?
  • Cosa sono i dati personali?
  • Esempi di violazioni dei dati
  • Quando devono essere notificate le violazioni dei dati?

Come prevenire una violazione dei dati?

Condurre valutazioni del rischio come una Data Protection Impact Assessment (DPIA) e registrarle può aiutarti a prevenire violazioni dei dati. Le valutazioni del rischio possono aiutarti a identificare quanto è vecchio il tuo software, dove potrebbero risiedere le vulnerabilità e il livello di formazione che il tuo personale ha ricevuto per gestire la probabilità complessiva di una violazione dei dati all'interno della tua organizzazione.

La dashboard Privasee è un modo rapido e semplice per la tua organizzazione di tenere sotto controllo questi componenti e ti aiuta a coordinare l'intersezione tra più condizioni di rischio. Con funzionalità che ti aiutano a registrare l'ora e la data delle DPIA e la persona responsabile della loro conduzione, puoi gestire meglio i rischi complessivi dei tuoi dati con una maggiore supervisione. Prevenire le violazioni dei dati non deve essere costoso né un grattacapo con gli strumenti giusti.

In quanto PMI, la tua organizzazione deve comprendere cos'è una violazione dei dati, come identificarla, quando deve essere segnalata all'Information Commissioner's Office (ICO) e, in definitiva, come prevenirla.

Violazioni dei dati per le PMI Immagine

Cos'è una violazione dei dati?

Una violazione dei dati è definita dal GDPR come:

“Una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (articolo 4(12) GDPR).

Le linee guida del gruppo di lavoro dell'articolo 29 (WP29) chiariscono ulteriormente quanto sopra, ovvero:

  • la distruzione dei dati in quanto non più esistenti o esistenti in una forma non più utile al titolare del trattamento;
  • la perdita di dati in quanto dati esistenti ma ai quali il titolare del trattamento non ha più accesso;
  • l' alterazione dei dati in quanto i dati vengono resi incompleti in qualche modo, ad esempio dati corrotti o quando i dati vengono alterati senza il consenso dell'interessato ; e
  • la divulgazione non autorizzata o l'accesso ai dati, nonché la condivisione, l'archiviazione o l'elaborazione di dati personali con destinatari non previsti.

Che dire della perdita temporanea dei dati?

Le linee guida WP29 consigliano che la perdita temporanea di dati può essere una violazione dei dati se la mancanza di accesso ha un impatto sui diritti e sulle libertà degli individui (esempio di seguito). Se la perdita temporanea è più grave, potrebbe essere necessario notificare la violazione all'ICO. In ogni caso, la perdita temporanea di dati dovrebbe essere documentata come le perdite permanenti di dati per dimostrare la responsabilità della tua organizzazione.

Cosa sono i dati personali?

I dati personali sono definiti ai sensi dell'articolo 4 (1) del GDPR come:

“Qualsiasi informazione relativa a una persona fisica identificata o identificabile ('interessato'); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online oppure a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Può essere sia oggettivo, come il nome e l'e-mail di una persona, sia soggettivo, come pensieri e opinioni su di essa, ad esempio quando le organizzazioni effettuano valutazioni su individui per fornire loro l'accesso a prodotti come servizi bancari o assicurativi. I dati soggettivi includono anche dati sui punti di vista di un individuo e sulle sue interazioni all'interno della società, come i suoi comportamenti e le sue azioni. WP29 richiama inoltre la nostra attenzione su come i dati non debbano essere accurati o corretti per essere considerati dati personali; ecco perché il GDPR ha disposizioni separate per correggere informazioni detenute erroneamente.

I dati personali devono anche riguardare le persone fisiche. Una persona è una persona fisica dalla nascita fino alla morte, indipendentemente dalla sua nazionalità o residenza, poiché il diritto alla privacy è considerato un diritto universale. Mentre le norme sui dati relativi ai defunti sono leggermente diverse, WP29 suggerisce che potrebbe essere più facile trattarli allo stesso modo di quelli delle persone fisiche, perché i dati del defunto potrebbero contenere indirettamente dati dei viventi. Ad esempio, i dati sensibili su una persona deceduta con emofilia potrebbero identificare indirettamente la sua prole con la stessa condizione.

Cosa non sono dati personali?

I dati relativi alle organizzazioni non sono considerati dati personali. Altre informazioni non considerate dati personali includono:

  • E-mail aziendali come info@organization.com
  • Dati resi anonimi
  • Dati che non possono identificare le persone*

Tuttavia, ciò non significa che non possano essere applicate le leggi nazionali sui dati che considerano determinati dati come dati personali. Possono essere applicati anche altri regimi legali non correlati alle normative sui dati, come il diritto penale o la proprietà intellettuale. La tua organizzazione potrebbe dover valutare questo caso per caso.

Esempi di violazioni dei dati

  • Condividere i dati personali dei clienti sulle piattaforme dei social media senza il loro consenso
  • Inviare un'e-mail alla persona sbagliata contenente il nome completo e l'indirizzo di un cliente, il che potrebbe avere conseguenze negative per il cliente
  • Esposizione di dati personali a pubblici indesiderati
  • Perdita di dati in caso di cancellazione accidentale o da parte di terzi non autorizzati, oppure perdita della chiave di decrittazione in caso di dati crittografati
  • Perdita di dati dovuta alla perdita di hardware come chiavette USB e note scritte
  • La perdita permanente di dati personali che non sono stati sottoposti a backup, come note scritte a mano che sono gli unici record disponibili, è anche nota come violazione della disponibilità.
  • Perdita temporanea di dati personali che sarebbero stati cruciali al momento della richiesta, come la perdita temporanea di cartelle cliniche ospedaliere che ha portato all'annullamento di un appuntamento o di un intervento chirurgico
  • Intrusioni di terze parti per rubare file contenenti dati personali di dipendenti e clienti
  • Alterare i dati senza il consenso dell'interessato in assenza di backup
  • Attacchi informatici

Consulta qui un'analisi dettagliata dell'impatto dei dati trapelati su questa piattaforma di prenotazione alberghiera, in cui sono stati resi pubblici i dati delle carte di credito di oltre 100.000 clienti.

Quando occorre informare l'ICO di una violazione dei dati?

Se si verifica una violazione dei dati personali, è necessario considerare se ciò rappresenta un rischio per le persone e la probabilità e la gravità del rischio per i diritti e le libertà delle persone, a seguito della violazione. Dopo questa valutazione, se è probabile che ci sarà un rischio, è necessario notificarlo all'ICO; se è improbabile, non è necessario segnalarlo, ma è necessario giustificare questa decisione e documentarla.

Se si segnala una violazione , questa deve essere segnalata all'ICO senza indebito ritardo ed entro le prime 72 ore dalla violazione, a partire da quando ne si è venuti a conoscenza. La mancata notifica all'ICO di una violazione dei dati rilevante può comportare una multa fino a 10 milioni di euro o il 2% del fatturato globale annuo, a seconda di quale sia più alto.

Clicca qui per una valutazione online per stabilire se dovresti presentare la segnalazione all'ICO.

Dovresti anche valutare l'impatto sugli individui, poiché le organizzazioni dovrebbero segnalare una violazione dei dati ai soggetti interessati senza indebito ritardo se sussiste "un rischio elevato per i diritti e le libertà delle persone fisiche", ad esempio se la violazione dei dati viola in qualche modo la loro sicurezza. Tuttavia, la soglia per la segnalazione ai soggetti interessati è più alta rispetto alla segnalazione all'ICO, quindi è probabile che dovresti prima segnalare all'ICO, in ogni caso. In altri casi, segnalare una violazione dei dati ai soggetti interessati troppo spesso può talvolta causare stanchezza, tanto che una violazione grave non viene presa con la gravità che merita.

Per informazioni su come segnalare una violazione dei dati, consulta il nostro prossimo post sulle notifiche.

* https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en

Disclaimer

Il presente articolo non costituisce in alcun modo una consulenza legale e intende solo analizzare alcuni dei punti principali esposti da fonti accessibili al pubblico, come l'ICO.

Fonti e ulteriori risorse

Commissione Europea - Cosa sono i dati personali?

Parere del Gruppo di lavoro articolo 29 4/2007 sul concetto di dati personali

Linee guida del gruppo di lavoro dell'articolo 29 sulla notifica delle violazioni dei dati personali ai sensi del regolamento 2016/679

Esempi di violazione dei dati personali

Violazioni dei dati personali ICO

27 luglio 2021
Saperne di più

Post correlati

Notizia

Nuove normative sulla privacy e i loro impatti nel 2024

Notizia

Che cos'è Google Consent Mode (CoMo)?

1 marzo 2024
Notizia

Il Lussemburgo diventa il primo Paese a introdurre un certificato GDPR ufficiale

28 luglio 2022
Visualizza tutti
Saperne di più

Post in evidenza

Showcase

In cosa consiste il processo di approvvigionamento?

16 gennaio 2025
Showcase

Cos'è un DDQ?

15 gennaio 2025
Showcase

Cos'è una RFI?

22 dicembre 2024
Visualizza tutti