Il Regolamento UE 679/2016, all’art. 4,c.12 definisce la violazione dei dati personali: “Qualsiasi violazione di sicurezza che comporta, anche accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Si tratta di una definizione molto ampia, in quanto comprende qualunque evento che metta a rischio i dati personali trattati (indipendentemente dalla causa che l’ha generata, (i c.d. incidenti informatici, anche accidentali). Una violazione dei dati si verifica quando i dati di cui la tua azienda/organizzazione è responsabile subiscono un incidente di sicurezza che comporta una violazione della riservatezza, della disponibilità o dell’integrità. Se ciò si verifica, ed è probabile che la violazione comporti un rischio per i diritti e le libertà di un individuo, la tua azienda/organizzazione deve informare l’autorità di controllo senza indebito ritardo e al più tardi entro 72 ore dopo aver avuto conoscenza della violazione. Se la tua azienda/organizzazione è un responsabile del trattamento dei dati deve notificare ogni violazione dei dati al titolare del trattamento.
L’elevato rischio
Se la violazione dei dati comporta un rischio elevato per le persone interessate, allora anche tutti dovrebbero essere informati, a meno che non vi siano efficaci misure tecniche e organizzative misure di protezione messe in atto o altre misure che garantiscono che il rischio non sia più probabile che si materializzi. Come organizzazione è fondamentale implementare misure tecniche e organizzative adeguate per evitare possibili violazioni dei dati.
Cos’è una violazione dei dati?
Per definire la violazione dei dati: una violazione dei dati espone informazioni riservate, sensibili o protette a una persona non autorizzata. I file coinvolti in una violazione dei dati vengono visualizzati e/o condivisi senza autorizzazione.
Chiunque può essere a rischio di violazione dei dati: dai privati alle aziende di alto livello e ai governi. Ancora più importante, chiunque può mettere a rischio gli altri se non è protetto.
In generale, le violazioni dei dati si verificano a causa di punti deboli in:
- Tecnologia
- Comportamento dell’utente.
Man mano che i nostri computer e dispositivi mobili ottengono più funzionalità di connessione, ci sono più posti in cui i dati possono scivolare. Le nuove tecnologie vengono create più velocemente di quanto possiamo proteggerle. I dispositivi dimostrano che diamo sempre più importanza alla comodità rispetto alla sicurezza. Molti prodotti per la “casa” presentano difetti evidenti, come la mancanza di crittografia, e gli hacker ne stanno approfittando. Poiché nuovi prodotti, servizi e strumenti digitali vengono utilizzati con test di sicurezza minimi, continueremo a vedere crescere questo problema. Tuttavia, anche se la tecnologia di backend fosse impostata perfettamente, sarebbe probabile che alcuni utenti abbiano ancora cattive abitudini digitali. Basta una persona per compromettere un sito Web o una rete. Senza una sicurezza completa sia a livello utente che aziendale, è quasi certo che sarai a rischio. La protezione di noi stessi e degli altri inizia dalla comprensione di come avviene una violazione dei dati.
La classificazione delle violazioni dei dati personali: le diverse tipologie
Le violazioni di dati personali possono essere classificate in base a tre diverse tipologie connesse alla sicurezza delle informazioni:
- “violazione della riservatezza”, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
- “violazione dell’integrità”, in caso di modifica non autorizzata o accidentale di dati personali;
- “violazione della disponibilità”, in caso di perdita, accesso o distruzione accidentali non o autorizzati di dati personali.
Va, altresì, osservato che, a seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle
stesse.
Riferimenti
Articolo 4, paragrafo 12 e Articoli 33 e 34 e Considerando da (85) a (88) del GDPR
Modulo di reclamo per reclami commerciali
Lettera sulla privacy policy di Microsoft del 12.01.2016
Linee guida sul consenso ai sensi del Regolamento 2016/679 (wp259rev.01)
Il gruppo di lavoro articolo 29 ha cessato di esistere dal 25 maggio 2018
Elenco delle aziende per le quali è chiusa la procedura di cooperazione UE BCR
Lettera del presidente del WP ART 29 all’eHEALTH
Lettera del presidente del WP ART 29 al mHEALTH
Come si verificano le violazioni dei dati?
Il presupposto è che una violazione dei dati sia causata da un hacker esterno, ma non è sempre vero. Le ragioni per cui si verificano le violazioni dei dati potrebbero, talvolta, essere ricondotte ad attacchi intenzionali. Tuttavia, può facilmente derivare da una semplice svista da parte di singoli individui o da difetti nell’infrastruttura di un’azienda.
Ecco come può verificarsi una violazione dei dati:
- Dispositivi smarriti o rubati. Un laptop o un disco rigido esterno non crittografato e sbloccato, ovvero tutto ciò che contiene informazioni sensibili, scompare.
- Un insider accidentale. Un esempio potrebbe essere un dipendente che utilizza il computer di un collega e legge file senza disporre delle autorizzazioni di autorizzazione adeguate. L’accesso è involontario e nessuna informazione viene condivisa. Tuttavia, poiché sono stati visualizzati da una persona non autorizzata, i dati sono considerati violati.
- Un insider dannoso. Un anonim0 accede e/o condivide appositamente i dati con l’intento di causare danni a un individuo o un’azienda. Il malintenzionato può avere un’autorizzazione legittima per utilizzare i dati, ma l’intento è quello di utilizzare le informazioni in modi nefasti.
- Criminali esterni dannosi. Si tratta di hacker che utilizzano vari vettori di attacco per raccogliere informazioni da una rete o da un individuo.
Dati: metodi dannosi utilizzati per violare
Giacché le violazioni dannose dei dati derivano da attacchi informatici , dovresti sapere a cosa prestare attenzione.
Ecco alcuni metodi popolari utilizzati dagli hacker
- Phishing
- Malware
- Attacchi.
Phishing. Gli attacchi di ingegneria sociale sono progettati per ingannarti e farti causare una violazione dei dati. Gli aggressori di phishing si fingono persone o organizzazioni (banche, poste, uffici statali, la scuola) di cui ti fidi per ingannarti facilmente. Criminali di questa natura cercano di convincerti a concedere l’accesso ai dati sensibili o a fornire i dati stessi.
Malware. Il sistema operativo, il software, l’hardware del tuo dispositivo o la rete e i server a cui sei connesso possono mostrare difetti di sicurezza. Tali lacune nella protezione sono cercate dai criminali come luogo adeguato in cui infilare il malware. Lo spyware in modo particolare è l’ideale per rubare dati privati stando totalmente inavvertito. Potresti non trovare questo malware finché non sarà troppo tardi.
Attacchi. Gli hacker potrebbero utilizzare strumenti software per indovinare le tue password. Tali hacker esaminano tutte le possibilità per la tua password finché non la indovinano correttamente. Questi attacchi richiedono un po’ di tempo, ma sono diventati rapidi man mano che la velocità dei computer continua a migliorare. Gli hacker dirottano persino altri dispositivi come il tuo tramite infezioni malware per accelerare il processo. Se la tua password fosse debole, potrebbero essere necessari solo pochi secondi per decifrarla.
La regolamentazione a scuola
In allegato un regolamento tipo adottato, con grande attenzione giuridica, dall’Istituto Tecnico Commerciale “Carlo Alberto Dalla Chiesa” di Partinico, guidato con competenza manageriale e giuridica dal dirigente scolastico prof. Angelo Nasca. L’istituto ha come Responsabile per la protezione dei dati personali il dott. Mario Grimaldi.
Continua qui:
Violazione informatica dei dati sensibili di una scuola, il data breach: scarica un esempio diregolamento