Perdita o furto di strumenti aziendali: si tratta sempre di data breach?
GDPR per HR
La discriminante chiave del data breach è da ricercarsi nel fatto che lo strumento tecnologico smarrito o rubato sia o meno provvisto di sistemi di sicurezza, che evitino la violazione dei dati personali presenti al suo interno.
Definizione di Data Breach:
Il Garante per la Protezione dei Dati Personali italiano specifica che si ha una violazione dei dati personali (“Data Breach”) ogni qualvolta vi sia una “violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” e che vanno opportunamente notificate tutte quelle “violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali” e, quindi, le violazioni di dati personali idonee a rappresentare un rischio per i diritti e le libertà delle persone.
Cosa accade in azienda:
Ecco che allora ci si pone la questione se la perdita e/o il furto di qualsivoglia strumento aziendale (PC, tablet, telefono cellulare, ecc.) sia da considerarsi un data breach da notificarsi ai sensi dell’art. 33 del GPR oppure no.
La discriminante è da ricercarsi nel fatto che il dispositivo smarrito o rubato sia stato ex ante dotato di idonee misure di sicurezza, oppure no.
Infatti, qualora lo strumento aziendale sia dotato di protezione tramite password e crittografia ovvero altra misura di sicurezza e, quindi, l’accesso ai dati personali è stato scongiurato e l’analisi interna permette di affermare con sufficiente sicurezza che neppure la riservatezza delle informazioni contenute nel dispositivo sia stata in qualche modo lesa, non vi è necessità di alcuna notifica all’Autorità competente perché di fatto non si è ravvisato alcun data breach e i dati personali sono ancora tutti presenti e integri nel sistema aziendale.
Diversamente, qualora il dispositivo aziendale fosse sprovvisto di sistemi di sicurezza, l’eventuale relativo smarrimento o furto, considerato l’inadeguato livello di sicurezza, comporterebbe certamente un data breach con conseguente obbligo di notifica all’Autorità competente ai sensi dell’art. 33 del GDPR.
Ovviamente è buona prassi prevedere in apposita procedura o policy aziendale il comportamento che deve tenere il collaboratore in caso di smarrimento/perdita del dispositivo aziendale, nonché si potrebbe pensare di evitare il problema a monte e, quindi, adottare come best practice quella di salvare ogni e qualsivoglia documento aziendale in un ambiente cloud con conseguente immediata inibizione dei documenti aziendali in caso di furto e/o smarrimento degli strumenti.
In JobCourier siamo particolarmente attenti alla tutela e alla riservatezza di dati e documenti ed è stato, pertanto, implementato un doppio sistema di sicurezza “a monte” ed “ex post”.
Perdita o furto di strumenti aziendali: si tratta sempre di data breach?
GDPR per HR
La discriminante chiave del data breach è da ricercarsi nel fatto che lo strumento tecnologico smarrito o rubato sia o meno provvisto di sistemi di sicurezza, che evitino la violazione dei dati personali presenti al suo interno.
Definizione di Data Breach:
Il Garante per la Protezione dei Dati Personali italiano specifica che si ha una violazione dei dati personali (“Data Breach”) ogni qualvolta vi sia una “violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” e che vanno opportunamente notificate tutte quelle “violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali” e, quindi, le violazioni di dati personali idonee a rappresentare un rischio per i diritti e le libertà delle persone.
Cosa accade in azienda:
Ecco che allora ci si pone la questione se la perdita e/o il furto di qualsivoglia strumento aziendale (PC, tablet, telefono cellulare, ecc.) sia da considerarsi un data breach da notificarsi ai sensi dell’art. 33 del GPR oppure no.
La discriminante è da ricercarsi nel fatto che il dispositivo smarrito o rubato sia stato ex ante dotato di idonee misure di sicurezza, oppure no.
Infatti, qualora lo strumento aziendale sia dotato di protezione tramite password e crittografia ovvero altra misura di sicurezza e, quindi, l’accesso ai dati personali è stato scongiurato e l’analisi interna permette di affermare con sufficiente sicurezza che neppure la riservatezza delle informazioni contenute nel dispositivo sia stata in qualche modo lesa, non vi è necessità di alcuna notifica all’Autorità competente perché di fatto non si è ravvisato alcun data breach e i dati personali sono ancora tutti presenti e integri nel sistema aziendale.
Diversamente, qualora il dispositivo aziendale fosse sprovvisto di sistemi di sicurezza, l’eventuale relativo smarrimento o furto, considerato l’inadeguato livello di sicurezza, comporterebbe certamente un data breach con conseguente obbligo di notifica all’Autorità competente ai sensi dell’art. 33 del GDPR.
Ovviamente è buona prassi prevedere in apposita procedura o policy aziendale il comportamento che deve tenere il collaboratore in caso di smarrimento/perdita del dispositivo aziendale, nonché si potrebbe pensare di evitare il problema a monte e, quindi, adottare come best practice quella di salvare ogni e qualsivoglia documento aziendale in un ambiente cloud con conseguente immediata inibizione dei documenti aziendali in caso di furto e/o smarrimento degli strumenti.
In JobCourier siamo particolarmente attenti alla tutela e alla riservatezza di dati e documenti ed è stato, pertanto, implementato un doppio sistema di sicurezza “a monte” ed “ex post”.