Il Comitato Europeo per la protezione dei dati, organismo che riunisce i Garanti privacy dei vari Paesi UE, ha adottato delle linee guida per affrontare e gestire alcune ipotesi di data breach che si sono verificate negli ultimi anni a danno di imprese e pubblica amministrazione. Le linee guida sono disponibili (in lingua inglese, per ora) a questo link e possono essere consultate e commentate fino al 2 marzo 2021.
Le situazioni contemplate sono un efficace spaccato delle problematiche che si possono presentare in caso di trattamento di dati e riguardano ipotesi sia dolose che colpose, diverse quanto al livello di “intrusività” del soggetto esterno ma accomunate dal pericolo che recano per la privacy: ransomware, trasferimento dati non autorizzato, diffusione illecita di dati personali, furto di identità, errori nell’invio di e-mail.
Per ciascuna di queste situazioni, il Comitato Europeo ha individuato sia delle best practices, volte a scongiurare il verificarsi del data breach, sia dei rimedi da porre in essere per limitare le conseguenze negative della singola violazione.
Tra le misure caldeggiate, spicca ovviamente la cifratura dei dati, accorgimento che, ove adottato, andrebbe ad annullare i rischi connessi ad una perdita dei dati, salva ovviamente l’ipotesi in cui la chiave di lettura sia disponibile a soggetti non autorizzati. Parimenti, viene ripetutamente raccomandato il ricorso a meccanismi di autenticazione, i quali assicurano che i dati vengano gestiti solamente da personale autorizzato a farlo.
Tra i rimedi, grande protagonista è ovviamente il backup dei dati, che assicura un rimedio contro la perdita; quando, invece, non esistono soluzioni per scongiurare la perdita dei dati, il Comitato suggerisce di utilizzare eventuali data breach come spunti per rivedere l’impianto privacy aziendale, alla ricerca di falle da tappare e meccanismi inceppati.
(avv. Andrea Martinis)
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale