Come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? A questa e ad altre domande rispondono le Linee Guida adottate dallo EDPB (Comitato europeo per la protezione dei dati personali), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio.

Le “Guidelines 01/2021 on Examples regarding Data Breach Notification”, approvate il 14 gennaio scorso, si basano sull’analisi dei casi più significativi di violazione dei dati affrontati dai Garanti Privacy nazionali, incluso quello italiano. Sul documento, attualmente disponibile solo in lingua inglese, lo EDPB ha avviato una consultazione pubblica per un periodo di sei settimane, dunque fino al 2 marzo 2021.

Le Linee Guida presentano, per ciascuna casistica, esempi di buone o cattive pratiche, raccomandano modalità di identificazione e valutazione dei rischi evidenziando i fattori che meritano particolare considerazione, indicano in quali casi chi tratta i dati deve notificare la violazione all’Autorità Garante e, se necessario, informare le persone coinvolte.

Tra le mancanze più frequenti ricordate dalle Linee guida vi è, ad esempio, l’omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate. Potrebbe facilitare le violazioni anche la non corretta gestione dell’autenticazione degli utenti a siti web, magari a causa dell’utilizzo di password deboli o conservate in chiaro. Drammatiche potrebbero essere le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) e non bisogna sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati.

Il testo analizza, inoltre, le misure adottate dai titolari del trattamento per prevenire o attenuare i rischi di una potenziale violazione dei dati.

 

Per maggiori informazioni, consultare le Linee Guida disponibili al link https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_en