Il Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB) ha approvato lo scorso 14 gennaio le nuove linee guida per gestire data breach e violazioni con esfiltrazioni di dati, e quindi tutte le conseguenze legate al GDPR. Le “Guidelines 01/2021 on Examples regarding Data Breach Notification” sono state basate sull’analisi dei casi più significativi di violazione dei dati subiti negli ultimi anni da enti pubblici e privati europei, da banche, ospedali, imprese, Comuni, aziende attive in tutti i settori.
Contengono indicazioni su come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi. Sul sito dell’EDPB è anche stata avviata una consultazione pubblica, e sarà possibile inviare commenti e feedback sul documento fino al 2 marzo 2021.
Tra gli aspetti più interessati della pubblicazione, il fatto che sono presentati (per ciascuna casistica) esempi di buone o cattive pratiche, raccomandazioni su come identificare e valutare i rischi, spiegazione sui fattori che meritano particolare considerazione, in quali casi è richiesto notificare la violazione all’Autorità Garante e quando informare le persone coinvolte.
Tra i problemi più frequenti – a due anni e mezzo dall’avvio del GDPR, avvenuto il 25 maggio del 2018 – nelle Linee Guida dell’EDPB si segnalano: l’omessa cifratura dei dati; una gestione superficiale degli aspetti di autenticazione degli utenti a siti web (unita a una cattiva gestione delle password); la mancanza di difese anti-malware e di backup, che possono facilitare il successo di un eventuale ransomware (che come noto hanno creato veri e propri disastri in molte strutture sanitarie europee e in altre realtà, ne abbiamo parlato diffusamente nel 2020).
Accedi qui al sito dell’EDPB da cui scaricare le Linee Guida.