<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=50912&amp;fmt=gif">
Blog GDPR

Un data breach e un insospettabile colpevole

[fa icon="calendar"] 11-mag-2018 9.48.52 / da Cristiano Pastorello

Un data breach e un insospettabile colpevole

Pochi giorni fa una notizia condivisa su Facebook ha attirato la mia attenzione. Un’azienda di un paese europeo ha preso una stampante-fotocopiatrice a noleggio e, all’accensione, si è trovata inondata di fogli e fascicoli contenenti dati riservatissimi di uno studio legale. Cause e date, nomi e cognomi, fatti di ogni genere avrebbero potuto diventare di pubblico dominio. Cosa ci suggerisce questo fatto?

La storia di questa macchina da ufficio per certi versi fa quasi sorridere: chissà quali succosi segreti avrà saputo quell’imprenditore o quel dipendente che ha raccolto le stampe rimaste memorizzate nella macchina presa a noleggio.

Il colpevole della violazione dei dati è quindi una macchina da ufficio!

Sì... però...

Se il mio nome fosse stato in quelle carte riservate, lo studio legale che non ha cancellato i dati e il fornitore della stampante avrebbero passato sicuramente dei brutti 5 minuti e, probabilmente, conseguenze anche più serie, come una denuncia

Perché?

 

Prima riflessione

Viviamo in un mondo di dati: è così da molti anni, la differenza è che oggi più che mai le tecnologie informatiche sono talmente integrate tra loro e connesse con il mondo che il rischio di data breach è altissimo.

Come abbiamo già detto in questo articolo il Data Breach, con l'entrata in vigore del GDPR, prevede l'obbligo di notifica. Di conseguenza l'azienda che subisce la violazione deve notificarla al garante ed essere pronta a dimostrare di aver protetto in modo ottimale i dati raccolti e trattati.

 

Seconda riflessione

La violazione dei dati non ha sempre una causa interna. Mi spiego meglio, si verifica un breach anche nel caso in cui un dipendente venga derubato del cellulare di servizio o del computer con, all'interno, i dati dei clienti.

Subire un furto non è certo colpa del dipendente, ma l'azienda dovrà dimostrare di aver fatto di tutto per proteggere i dati all'interno delle dotazioni informatiche date al dipendente per lavorare.

Lo stesso può dirsi per un caso come quello della stampante-fotocopiatrice: lo studio legale che ha subito la violazione, perché non ha formattato i dati? E perché non ci ha pensato, eventualmente, il fornitore?

 

Terza riflessione

Il Data breach, o la violazione, è un evento che può capitare in mille modi. Perciò è importante allenarsi a pensare in modo più "clinico". 

Nel caso specifico, lo studio legale che ha noleggiato la macchina avrebbe potuto prevedere nel contratto di fornitura che una volta scaduto il termine noleggio,  sarebbe dovuta essere resettata dal fornitore, per una garanzia in più. Può infatti succedere che all'interno dello studio legale non ci siano esperti di memoria informatica, avvocati ed assistenti probabilmente non si aspettavano che i file inviati in stampa potessero rimanere memorizzati. Un tecnico invece, quindi il fornitore, dovrebbe saperlo.

 

Essere compliance al GDPR significa pensare in modo più consapevole a ciò che riguarda la gestione dei dati.

Scarica la guida gratuita per saperne di più.

Guida GDPR

Categorie: Regolamento Privacy

Cristiano Pastorello

Scritto da Cristiano Pastorello

Information Security Manager & Privacy Officer presso ArchiMedia srl. Nonostante i miei studi partiti come geometra, la mia passione per il pc e per tutto quello che sta oltre a quell'involucro di plastica mi hanno trascinato completamente nel settore dell'informatica, tanto da diventare Information Security Manager di ArchiMedia. In questi anni ho seguito importanti progetti come quelli che riguardano la sicurezza informatica del Comune di Verona e di Italscania. In questo ultimo periodo ho deciso inoltre di specializzarmi sul campo del Data Protection ottenendo la Certificazione Federprivacy come Privacy Officer.