Lo scorso 14 gennaio l’European Data Protection Board (“EDPB”) ha emanato le seguenti Linee Guida “Guidelines n. 1/2021 on Examples regarding data breach notification”, volte a supportare i titolari del trattamento nella gestione di eventuali violazioni di dati personali.
Il documento, che sarà oggetto di consultazione fino al prossimo 2 marzo e che si pone a completamento delle Linee Guida precedentemente emanate dal Working Party nel 2018 (WP250), raccoglie le esperienze delle varie Autorità di Controllo in tema di violazione dei dati personali e attraverso l’esame di diversi casi pratici, fornisce indicazioni operative ai titolari del trattamento chiarendo quando le violazioni debbano essere notificate all’Autorità di Controllo e comunicate agli interessati.
In linea con quanto precedentemente disposto dal Working Party, l’EDPB ha ribadito che le violazioni si possono dividere in:
- violazioni di riservatezza: in caso di divulgazione non autorizzata,
- violazioni di integrità: in caso di alterazione non autorizzata o accidentale dei dati personali;
- violazioni della disponibilità: in caso di perdita accidentale o non autorizzata dell’accesso a o di distruzione dei dati personali,
L’EDPB si è inoltre spinto a esaminare le più comuni violazioni di dati personali, suddividendole nelle seguenti macro categorie:
- Attacchi Ramsonware;
- Attacchi diretti all’esfiltrazione dei dati;
- Violazioni dovute a errori umani (volontari o involontari);
- Perdita o furto di devices o di documenti cartacei;
- Errato invio di comunicazioni di posta elettronica;
- Attacchi “Social Engineering” quali il furto di identità e l’esfiltrazione dei dati e informazioni dalle email aziendali.
Per ognuna delle macro categorie menzionate l’EDPB ha ipotizzato una serie di scenari differenti (per tipologia di violazione o di misure di sicurezza adottate dal titolare) individuando, per ciascun scenario, esempi pratici di come il Titolare dovrebbe gestire la violazione e quali fattori considerare durante il risk assessment al fine di individuare gli impatti derivanti dalla violazione e procedere, se del caso, alla notifica della stessa all’Autorità Garante e agli interessati.
Per ciascun scenario analizzato l’EDPB segnala altresì una serie di misure di sicurezza che, laddove applicate e tenendo conto delle caratteristiche uniche e specifiche di ciascun trattamento, potrebbero aiutare a ridurre la possibilità che una violazione si verifichi o comunque a mitigare gli effetti negativi sugli interessati derivanti dal verificarsi della stessa.