Data Breach

«Ho sentito parlare di violazione dei dati» 

Magari non è vero che hai sentito parlare di “violazione dei dati”, anche perché è un argomento nel suo insieme abbastanza nuovo, segno che i tempi cambiano.

Non so se ti ricordi il famoso film “Wargame – Giochi di guerra”, dove un ragazzino riesce a entrare nei computer del governo americano e ad innescare un potenziale guerra nucleare…

… io sinceramente non l’ho ancora visto ma in giro c’è la famosa scena dove l’hacker riesce ad indovinare la password di accesso: “Joshua”.

La cosa stupefacente è che oggi quella scena rappresenta purtroppo una situazione ormai fuori controllo e una delle violazioni di dati più frequente.

Prima di tutto: che cos’è una violazione dei dati personali?

Ogni volta che un dato personale viene distrutto, perduto, modificato o diffuso senza volerlo o perché qualcuno lo ha fatto di proposito.

La Violazione dei dati in inglese viene chiamata DATA BREACH (si pronuncia più o meno “deta bric” con la “c” di “breccia”). 

Vediamo con alcuni esempi, cosa può succedere nell’ufficio dove lavora la nostra amica Giulia.

Un dato personale DISTRUTTO

Giulia senza volerlo ha, per esempio, cancellato i dati di Mario Rossi dal computer.

Non ce ne accorgiamo subito di questa cancellazione.    

Passerà del tempo e Mario Rossi non capisce perché non riceve più, per esempio, l’estratto conto.

Altro esempio, Giulia, distrattamente, venerdì sera lascia aperto il rubinetto del bagno al seminterrato e lunedì mattina mezzo archivio cartaceo “galleggia” semidistrutto.

PERDUTO

Come si fa a perdere un dato?

Ad esempio, perdi la chiavetta USB nella quale sono registrati i dati degli stipendi dei tuoi dipendenti.

Perdere può essere una perdita completa o parziale, con conseguenze ovviamente diverse.

Anche perdere un certificato medico cartaceo.

MODIFICATO

Un hacker entra nel pc, scambia tutti i dati dei tuoi clienti allo scopo di danneggiarti.

Ma, cosa molto più probabile, un dipendente sbaglia e scambia il codice fiscale di Rossi con quello di Bianchi. Questo scambio, se non me ne accorgo subito, nel tempo creerà un problema nei confronti di Rossi e di Bianchi, ecco che questo è un data breach.

Altro esempio, più frequente di quanto dovrebbe, il tuo fornitore di software fa un pasticcio con gli archivi degli ordini dei tuoi clienti e mischia i dati: tempo di ripristino una settimana e nel frattempo hai quello che si chiama un data breach.

DIFFUSO

Accade che il tuo PC prende un “virus” e fa partire 1000 e-mail il cui contenuto rileva a tutti dell’imminente licenziamento del dipendente Gianni Bianchi.

Ancora Giulia, non si accorge di aver inoltrato al Boss l’e-mail di Alex nella quale lo insultava pesantemente: Alex rischia il licenziamento? Si profila una situazione complicata…

Distrutto, perduto, modificato o diffuso ma anche quando dai la tua password del tuo computer ad uno sconosciuto o ad un semplice conoscente.

In questo caso perché è una violazione?

Perché qualcuno che non sei tu, accede a dei dati e può farci un po’ quello che vuole.

Cosa dobbiamo fare in caso di Violazione dei dati personali?

Valutare quali tipi di dati sono stati ‘toccati’ dal problema.

Sono dati innocui, rischiosi o pericolosi se qualcuno ne viene a conoscenza?

La Violazione dei dati può comportare un rischio per le persone coinvolte?

Ad esempio, se uno viene a conoscenza dei codici fiscali e degli indirizzi dei miei clienti, c’è un rischio per LORO, per i miei clienti?

Per fare tutto questo sarà stata predisposta un’apposita procedura da seguire, nella quale saranno stati elencati i diversi rischi connessi ai diversi tipi di dati personali.

Ogni violazione avrà associato una specie di punteggio, per dare un valore numerico all’evento dannoso.

Nella procedura ci sarà scritto se devi informare l’Autorità di controllo e se devi anche informare le persone coinvolte, ovvero le persone i cui dati hanno subito una violazione.

Ricorda che hai 72 ore di tempo da quando vieni a conoscenza della violazione per informare l’Autorità di controllo.

Perché tutto questo? Serve veramente a qualcosa?

Per capire il concetto che sta dietro a questa preoccupazione chiediti: «Come mi sentirei se do in custodia il mio anello a qualcuno e quel qualcuno in caso di furto nemmeno mi avvisa?»

«Mi piacerebbe che gli altri si preoccupassero di più delle mie cose?»

Tieni presente che non seguire una procedura adeguata può esporre la tua azienda a sanzioni e, forse più probabilmente, alla richiesta di danni da parte delle persone.

È importante avere una procedura snella e veloce per gestire la situazione.

Il Metodo Privacy passo dopo passo aiuta le imprese a gestire al meglio anche queste situazioni, contattaci per un’analisi gratuita.

Vignetta di Paolo Tacconi – TAP

w01 created 2022-10-04-01-06-31