L’EDPB (European Data Protection Board) ha pubblicato in consultazione le “Guidelines 01/2021 on Examples regarding Data Breach Notification“. Le Linee guida chiariscono tramite esempi di diverse tipologie di data breach, quali sono le procedure di notifica delle violazioni di dati personali alle Autorità competenti ed eventualmente agli interessati.
Lo scopo delle linee guida è di assistere i titolari nel decidere come gestire i data breach e quali fattori considerare durante la valutazione dei rischi.
Il documento contiene 18 casi specifici. Dal ransomware all’esfiltrazione dei dati, ai rischi umani interni, ai dispositivi/documenti smarriti rubati. Fino all’invio di dati tramite mail per errore e ingegneria sociale.
COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?
Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Alcuni possibili esempi:
– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
– il furto o la perdita di dispositivi informatici contenenti dati personali;
– la deliberata alterazione di dati personali;
– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
– la divulgazione non autorizzata dei dati personali.