Quali sono i tipi di violazione privacy che l'organizzazione può subire?

La tua azienda/organizzazione deve informare l’autorità di vigilanza senza indebito ritardo e al più tardi entro 72 ore dopo aver preso conoscenza della violazione. Se la tua azienda/organizzazione è responsabile del trattamento è necessario notificare ogni violazione di dati al titolare del trattamento. Se la violazione dei dati comporta un rischio elevato per le persone interessate, devono essere tutte informate, a meno che non siano state adottate misure efficaci di protezione tecnica e organizzativa o altre misure che garantiscano che il rischio non si verifichi più. Come organizzazione, è fondamentale attuare misure tecniche e organizzative adeguate per evitare possibili violazioni dei dati. Un dipendente ospedaliero decide di copiare i dati dei pazienti su un CD e li pubblica online. I dati dei dipendenti di un’azienda tessile sono stati divulgati. Un servizio cloud perde diversi hard disk contenenti dati personali di molti dei suoi clienti. I dati includevano gli indirizzi personali, la composizione della famiglia, lo stipendio mensile e le spese mediche di ciascun dipendente.

Le violazioni possono essere classificate in base ai seguenti tre principi ben noti della sicurezza delle informazioni: • violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali; • violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali; • violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali. Va altresì osservato che, a seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse. Una violazione sarà sempre considerata una violazione della disponibilità se si è verificata una perdita o una distruzione permanente dei dati personali. Può verificarsi perdita di disponibilità anche in caso di interruzione significativa del servizio abituale di un’organizzazione, ad esempio un’interruzione di corrente o attacco da “blocco di servizio” (denial of service) che rende i dati personali indisponibili. Un incidente di sicurezza che determina l’indisponibilità dei dati personali per un certo periodo di tempo costituisce una violazione, in quanto la mancanza di accesso ai dati può avere un impatto significativo sui diritti e sulle libertà delle persone fisiche. Un’infezione da ransomware (software dannoso che cifra i dati del titolare del trattamento finché non viene pagato un riscatto) potrebbe comportare una perdita temporanea di disponibilità se i dati possono essere ripristinati da un backup.

- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; - il furto o la perdita di dispositivi informatici contenenti dati personali; - la deliberata alterazione di dati personali; - l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; - la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; - la divulgazione non autorizzata dei dati personali.