Sécurité des données : l’erreur est (souvent) humaine

Sicurezza dei dati: sbagliare è (spesso) umano

Legal Watch – Novembre 2019.

Sicurezza dei dati: sbagliare è (spesso) umano. Questa è stata la conclusione a cui sono giunte le autorità pubbliche responsabili della protezione dei dati personali, riunite a Tirana dal 21 al 24 ottobre.

Nel corso della conferenza internazionale, che ogni anno riunisce le autorità di vigilanza, il settore privato e la società civile, sono state adottate numerose risoluzioni.

Tra queste figurano due risoluzioni volte a migliorare la cooperazione transfrontaliera tra le autorità pubbliche e a una migliore attuazione del GDPR, una risoluzione sui social media e i contenuti estremisti violenti e quella di cui ci stiamo occupando in questa sede, sull'errore umano nelle violazioni della sicurezza.

Si ricorda che, ai sensi del GDPR, una violazione della sicurezza riguarda qualsiasi situazione in cui i dati personali siano accidentalmente o illegalmente:

  • Distrutto
  • Perduto
  • Alterato
  • Divulgato
  • Oppure quando si osserva un accesso non autorizzato ai dati.

Si tratta quindi di un ambito di applicazione particolarmente ampio, con conseguenze per il titolare del trattamento che, a seconda dell'impatto della violazione della sicurezza, deve avvisare la CNIL e le persone interessate dall'incidente.

A più di un anno dall'entrata in vigore del GDPR, constatiamo che una gran parte delle sanzioni imposte per inosservanza del regolamento sono dovute alla mancanza di sicurezza nel trattamento dei dati. 

Anche le varie autorità in Europa hanno ricevuto un gran numero di segnalazioni e stanno iniziando ad avere un quadro più chiaro delle origini dei problemi di sicurezza, il che dovrebbe contribuire a migliorare la prevenzione in questo ambito.

L'osservazione è la seguente: Una gran parte delle violazioni della sicurezza deriva dalla divulgazione involontaria di informazioni da parte dei dipendenti a destinatari non autorizzati o a persone indotte in errore nel trasmettere identificativi e codici di accesso alle informazioni.

Oltre all'implementazione di solide tecniche di protezione dei dati nella progettazione dei sistemi ("privacy by design"), la risoluzione richiede lo sviluppo di una cultura della protezione dei dati all'interno dell'azienda. Vengono evidenziate le seguenti misure:

  • Programmi regolari di formazione, istruzione e sensibilizzazione per i dipendenti sugli aspetti della “privacy” e della sicurezza dei dati;
  • Formazione per rilevare e segnalare violazioni della sicurezza;
  • Monitoraggio e audit regolari delle pratiche e dei sistemi implementati per proteggere i dati.

Un utile promemoria: la crittografia rimane un mezzo estremamente importante per proteggere i dati, in combinazione con altre misure tecniche e organizzative. La CNIL e l'ANSSI (Agenzia francese per la protezione dei dati e la protezione dei dati) hanno pubblicato online una serie di informazioni pratiche a ottobre per celebrare il Mese della sicurezza informatica.

E inoltre:

  • In Francia:

L'autorità di vigilanza francese ha pubblicato la sua tabella di marcia 2019-2021 a metà ottobre. al fine di comunicare le proprie priorità in materia di protezione dei dati personali. Le aree di intervento sono cinque:

  • Le sfide digitali della vita quotidiana dei cittadini;
  • Regolamentazione equilibrata (azione di sostegno e repressiva);
  • Un investimento significativo nella cooperazione europea;
  • Competenze all'avanguardia in ambito digitale e sicurezza informatica;
  • Una missione di servizio pubblico innovativa basata su valori umanistici.

La CNIL ha inoltre preso posizione il 17 ottobre su due sistemi di riconoscimento facciale implementato nelle scuole.

Riteneva che questi progetti, applicati a studenti per lo più minorenni e con l'unico scopo di semplificare e garantire l'accesso, non fossero "né necessari né proporzionati al raggiungimento di tali fini".

Tali decisioni possono essere paragonate a quella presa dall'autorità di vigilanza svedese a fine agosto nel contesto del riconoscimento facciale nelle scuole, questa volta con l'obiettivo di monitorare la frequenza.

  • In Europa:

Risarcimento per violazione della legge: Le condizioni in base alle quali un individuo può richiedere un risarcimento in caso di violazione dei suoi diritti sono chiarite dalla giurisprudenza.

L'ultima sentenza, emessa dalla Corte d'appello di Londra il 2 ottobre, assegna un risarcimento per la raccolta fraudolenta di dati da parte di Google sugli iPhone di oltre quattro milioni di utenti, in assenza di prova del danno: la Corte precisa che il controllo di una persona sui propri dati ha un valore, quindi anche la perdita di tale controllo deve avere un valore.

Pertanto, una persona può ottenere un risarcimento ai sensi di legge senza dover dimostrare di aver subito perdite o difficoltà finanziarie.

Si segnala il collegamento tra questa decisione e l'articolo 82 del GDPR, che stabilisce l'esistenza di un danno materiale e immateriale e lascia al titolare del trattamento l'onere della prova della propria non responsabilità per il danno.

  • Negli Stati Uniti:

Trasferimenti internazionali di dati: Il 23 ottobre la Commissione europea ha pubblicato le conclusioni della terza revisione annuale del "Privacy Shield", che disciplina il trasferimento dei dati verso gli Stati Uniti per le aziende che vi hanno aderito.

Il rapporto conferma che il sistema continua a fornire un livello di protezione adeguato.

Evidenzia i miglioramenti apportati all'implementazione dello "Shield" e menziona le debolezze rimanenti, tra cui la lunghezza del tempo necessario per ottenere la (ri)certificazione e la verifica delle false dichiarazioni di certificazione presentate da alcune aziende.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT