Nuove linee guida dal Garante privacy per gestire le violazioni di dati
L’Edpb ha adottato nuove linee guida per poter aiutare le imprese e la pubblica amministrazione ad affrontare in maniera corretta le violazioni dei dati e riuscire così a definire i processi di definizione del rischio.
Le linee guida sono state approvate in riunione plenaria il 14 gennaio scorso, si basano principalmente sull’analizzare in primis i casi con violazione dei dati subiti da banche, ospedali medie imprese e società che offrono servizi online di vario genere.
Su questo documento stipulato l’Edpb da deciso di avviare una consultazione pubblica per sei settimane.
Queste linee guida sono importanti poiché riportano esempi di pratiche corrette o non, sono contenute inoltre raccomandazioni per l’identificazione e la valutazione dei rischi, specificando inoltre quando sia il caso di notificare la violazione all’Autorità Garante e, in caso fosse necessario, informare le persone coinvolte.
L’omessa cifratura dei dati potrebbe senza dubbio agevolare la consultazione d’informazioni riservate a chi li acquisisce in maniera fraudolenta, per questa ragione è stata inserita nelle Linee Guida da seguire. Anche la non corretta gestione dell’autenticazione degli utenti a siti web potrebbe agevolare l’acquisizione di dati, a causa per esempio dell’inserimento di password deboli.
Nel settore bancario tra le più frequenti azioni che facilitano l’accesso illecito a contenuti sensibili e che dovrebbero rimanere potetti è l’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti. Per non parlare di un attacco ransomware (virus informatico che rende i dati inservibili fino al pagamento di un riscatto) che potrebbe essere drammatico soprattutto in ospedale con documenti di pazienti, inaccessibili a meno che la struttura non sia provvista di un backup separato dei dati. Non da sottovalutare le conseguenze di una mail inviata ad un destinatario errato.
Per questa ragione è stato ritenuto utile un testo contenenti le misure adottate dai titolari del trattamento dei dati prima di aver subito un data breach, per prevenire o attenuare i rischi di una potenziale violazione dati, è stata perciò proposta una listi di misure preventive a vari problemi rilevati.