Continua la nostra rubrica sugli esempi di notifica del data breach.
In questo episodio affronteremo il caso di un furto di dispositivo contenente dati personali.
Vedremo come la violazione di molteplici dati riferibili alla medesima informazione può comportare un rischio elevato per i diritti e libertà degli interessati e quali misure possono essere adottate per prevenire tali rischi.
IL FATTO
Il notebook di un dipendente di una società fornitrice di servizi è stato rubato. Il dispositivo sottratto conteneva nomi, cognomi, sesso, indirizzi e date di nascita di oltre 100.000 clienti. A causa dell’indisponibilità del dispositivo rubato, il Titolare non è in grado di accertare se anche altre categorie di dati personali siano state violate. L’accesso al disco rigido del notebook non era protetto da alcuna password. I dati personali potevano essere ripristinati dai backup giornalieri disponibili.
Di seguito alcune considerazioni sulla tipologia di violazione verificatasi:
- Il dispositivo era vulnerabile, in quanto non era protetto con password o crittografia;
- Il numero di interessati coinvolti è molto alto;
- Le tipologie di dati coinvolti sono molteplici;
- Il Titolare non ha adottato misure di sicurezza a protezione della riservatezza dei dati che, pertanto, sono stati resi accessibili al terzo;
- La disponibilità dei dati è rimasta inviolata, tenuto conto che il Titolare ha implementato una buona policy di backup.
I RISCHI E LE CONSEGUENZE PER I DIRITTI E LE LIBERTÀ DEGLI INTERESSATI
Questa violazione ha comportato la perdita di riservatezza dei dati personali dei clienti della società, a causa della mancata adozione di adeguate misure di sicurezza a protezione dei dati.
Il Titolare, infatti, non ha adeguatamente protetto il disco rigido del notebook, rendendo i dati accessibili a chiunque entrasse in possesso del dispositivo.
In casi come questo, l’adozione della crittografia dei dati aiuta ad evitare che un incidente di sicurezza, come il furto di un notebook, possa comportare a sua volta anche una violazione di dati personali.
Il Titolare deve valutare tutte le possibili conseguenze negative che possono derivare dalla violazione concreto che, in questo caso specifico, potrebbe concretizzarsi nel furto d’identità degli interessati coinvolti.
Questo tipo di violazione non ha comportato invece la perdita di disponibilità dei dati personali, in quanto il database violato era sottoposto a backup giornaliero e quindi i dati in esso contenuti sono rimasti disponibili al Titolare.
CONCLUSIONI
Per valutare se sussistono gli obblighi di notifica e di comunicazione del data breach, occorrerà verificare se per la natura della violazione, sussistono rischi per i diritti e le libertà degli interessati.
In questo specifico data breach, il numero molto elevato dei soggetti coinvolti e le possibili gravi conseguenze portano a ritenere che i rischi per i diritti e libertà siano molto elevati.
Il Titolare dovrà quindi:
- notificare la violazione di dati al Garante
- comunicare la violazione agli interessati
Violazioni di questo genere possono essere prevenute mediante l’adozione di misure di sicurezza tecniche a protezione dei dispositivi e dei dati in essi contenuti.
Si tenga presente che la protezione dei dispositivi aziendali è importante anche per evitare che si verifichi una violazione delle informazioni di rilevanza societaria, eventualmente presenti sugli strumenti lavorativi affidati ai dipendenti.