L’EDPB (European Data Protection Board) ha reso disponibili le "Guidelines 01/2021 on Examples regarding Data Breach Notification" approvate il 14 gennaio scorso, in esse vengono indicate nel dettaglio le modalità utili per fronteggiare eventuali violazioni a carico dei dati sensibili nell’ambito delle imprese e delle Pubbliche Amministrazioni.
Per la definizione di linee guida condivise in ambito UE sono stati chiamati in causa i Garanti per la Privacy europei e analizzati anche alla luce del GDPR (General Data Protection Regulation) diversi episodi durante i quali sono avvenuti dei Data Breach che hanno coinvolto strutture ospedaliere, istituti di credito, aziende pubbliche e private nonché istituzioni.
E’ obbligatori comunicare alle autorità e ai titolari dei dati di essere stati vittima di violazioni
Volendo evitare un approccio unicamente punitivo al tema dei Data Breach, il documento è stato redatto suggerendo buone e cattive pratiche per la loro gestione, sottolineando innanzitutto i casi in cui è obbligatorio comunicare le violazioni subite ai titolari dei dati coinvolti e alle Authority che dovranno verificare le dinamiche che hanno determinato gli incidenti.
Nello stesso modo viene ricordata l’importanza di non inserire in querystring informazioni che permettano di risalire ad un utente, di utilizzare l’autenticazione a due fattori, di non consentire la scelta di password troppo deboli e di proteggere sempre i dati tramite un algoritmo di cifratura per evitare che una volta sottratti possano essere letti "in chiaro".
Le linee guida contengono anche un richiamo alla sempre maggiore diffusione dei ransomware e ai ricatti ad essi correlati, particolarmente gravi quando ad essere attaccate sono informazioni sensibili come quelle contenute nelle cartelle cliniche, così come all’abitudine non ancora consolidata di creare copie di backup dei dati archiviati.
