Storie di privacy passo dopo passo
Giulia ha chiesto aiuto ad Alex perché ha capito che un hacker è entrato nel suo computer. Così la cosa giusta è parlarne con il boss.
Vediamo di capire cos’è successo.
Attraverso un’e-mail, un hacker è entrato nel computer di Giulia.
Sono successe due cose:
- l’hacker ha rubato delle e-mail e dei documenti.
- ora il computer non è più sicuro.
Prima di tutto: che cos’è una Violazione dei dati personali?
Ogni volta che un dato personale viene distrutto, perduto, modificato o diffuso senza volerlo o perché qualcuno lo ha fatto di proposito.
La Violazione dei dati in inglese viene chiamata DATA BREACH.
Vediamo più in dettaglio con degli esempi.
Distrutto: Giulia ha, per esempio, senza volerlo, cancellato i dati di Mario Rossi dal computer.
Non ce ne accorgiamo subito.
Passerà del tempo e Mario Rossi non capisce perché non riceve più, per esempio, l’estratto conto.
Perduto: come si fa a perdere un dato?
Ad esempio, perdi la chiavetta USB con sopra gli stipendi dei dipendenti.
Ma anche perdere un certificato medico.
Modificato: l’hacker ti entra e di scambia tutti i dati dei tuoi clienti.
Ma, cosa molto più probabile, un dipendente sbaglia e scambia il codice fiscale di Rossi con quello di Bianchi. Questo scambio se non me ne accorgo subito, e va avanti e crea un problema nei confronti di Rossi e di Bianchi, ecco che questo è un data breach.
Oppure ancora, il tuo fornitore di software fa un pasticcio con gli archivi degli ordini dei tuoi clienti.
Diffuso: il tuo PC prende un virus e fa partire 1000 e-mail, e dentro queste email c’è scritto che il Sig. Gianni Bianchi, che è un tuo dipendente, sarà licenziato domani.
Distrutto, perduto, modificato o diffuso ma anche quando dai la tua password del tuo computer ad uno sconosciuto o ad un semplice conoscente.
In questo caso perché è una violazione?
Perché qualcuno che non sei tu, accede a dei dati e può farci un po’ quello che vuole.
Cosa dobbiamo fare in caso di Violazione dei dati personali?
Valutare quali tipi di dati sono stati ‘toccati’ dal problema.
Sono dati innocui, rischiosi o pericolosi se qualcuno ne viene a conoscenza?
La Violazione dei dati può comportare un rischio per le persone coinvolte?
Ad esempio, se uno viene a conoscenza dei codici fiscali e degli indirizzi dei miei clienti, c’è un rischio per LORO, per i miei clienti?
Per fare tutto questo sarà stata predisposta un’apposita procedura da seguire, nella quale saranno stati elencati i diversi rischi connessi ai diversi tipi di dati personali.
Nella procedura ci sarà scritto se devi informare l’Autorità di controllo e se devi anche informare le persone coinvolte, ovvero le persone i cui dati hanno subito una violazione.
Ricorda che hai 72 ore di tempo da quando vieni a conoscenza della violazione per informare l’Autorità di controllo.
Perché tutto questo? Serve veramente a qualcosa?
Per capire il concetto che sta dietro a questa preoccupazione chiediti: Come mi sentirei se do in custodia il mio anello a qualcuno e quel qualcuno in caso di furto nemmeno mi avvisa?
Mi piacerebbe che gli altri si preoccupassero di più delle mie cose?
Tieni presente che non seguire una procedura adeguata può esporre la tua azienda a sanzioni e, forse più probabilmente, alla richiesta di danni da parte delle persone.
È importante avere una procedura snella e veloce per gestire la situazione.
Ho sentito dire da qualche azienda che loro non devono eseguire alcuna procedura in caso di violazione perché il loro sistema ha le misure “adeguate”… niente di più falso e pericoloso!
In caso di una sospettata violazione devi assolutamente seguire la procedura di gestione della violazione dei dati.
--> QUALE LIVELLO DI ADEGUAMENTO PRIVACY HAI?
Scopri con un semplice e veloce test, in piena autonomia, il livello di adeguamento della tua azienda:
Fai il test
