Perdita o furto di strumenti aziendali: si tratta sempre di data breach?
News | 07.04.2024
La discriminante chiave del data breach è da ricercarsi nel fatto che lo strumento tecnologico smarrito o rubato sia o meno provvisto di sistemi di sicurezza, che evitino la violazione dei dati personali presenti al suo interno.
Definizione di Data Breach:
Il Garante per la Protezione dei Dati Personali italiano specifica che si ha una violazione dei dati personali (“Data Breach”) ogni qualvolta vi sia una “violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” e che vanno opportunamente notificate tutte quelle “violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali” e, quindi, le violazioni di dati personali idonee a rappresentare un rischio per i diritti e le libertà delle persone.
Cosa accade in azienda:
Ecco che allora ci si pone la questione se la perdita e/o il furto di qualsivoglia strumento aziendale (PC, tablet, telefono cellulare, ecc.) sia da considerarsi un data breach da notificarsi ai sensi dell’art. 33 del GPR oppure no.
La discriminante è da ricercarsi nel fatto che il dispositivo smarrito o rubato sia stato ex ante dotato di idonee misure di sicurezza, oppure no.
Infatti, qualora lo strumento aziendale sia dotato di protezione tramite password e crittografia ovvero altra misura di sicurezza e, quindi, l’accesso ai dati personali è stato scongiurato e l’analisi interna permette di affermare con sufficiente sicurezza che neppure la riservatezza delle informazioni contenute nel dispositivo sia stata in qualche modo lesa, non vi è necessità di alcuna notifica all’Autorità competente perché di fatto non si è ravvisato alcun data breach e i dati personali sono ancora tutti presenti e integri nel sistema aziendale.
Diversamente, qualora il dispositivo aziendale fosse sprovvisto di sistemi di sicurezza, l’eventuale relativo smarrimento o furto, considerato l’inadeguato livello di sicurezza, comporterebbe certamente un data breach con conseguente obbligo di notifica all’Autorità competente ai sensi dell’art. 33 del GDPR.
Ovviamente è buona prassi prevedere in apposita procedura o policy aziendale il comportamento che deve tenere il collaboratore in caso di smarrimento/perdita del dispositivo aziendale, nonché si potrebbe pensare di evitare il problema a monte e, quindi, adottare come best practice quella di salvare ogni e qualsivoglia documento aziendale in un ambiente cloud con conseguente immediata inibizione dei documenti aziendali in caso di furto e/o smarrimento degli strumenti.
In Arca24 siamo particolarmente attenti alla tutela e alla riservatezza di dati e documenti ed è stato, pertanto, implementato un doppio sistema di sicurezza “a monte” ed “ex post”.
Chi siamo
Arca24 è un HR Tech Factory specializzata nello sviluppo di software cloud per il settore delle risorse umane.
Video episodi
Primo episodio GDPR for HR | Reclutare tramite email – prima parte
Chiara Ferrari (Legal Manager di Arca24) e il Professore Avvocato Massimiliano Nicotra sono i protagonisti del primo episodio, dedicato all’e-mail recruiting: raccolta e trattamento dei dati, tempi e modalità di conservazione e gestione del consenso.
Primo episodio GDPR for HR | Reclutare tramite email – seconda parte
Secondo appuntamento video per la rubrica “GDPR for HR”. Continuiamo a parlare di e-mail recruiting spostando però il focus sui diritti del candidato: diritto all’oblio, diritto di accesso e portabilità dei dati i protagonisti di questa puntata.
Secondo episodio GDPR for HR | Area personale del candidato
In questa puntata dedicata all’attività di recruiting faremo il punto in merito alla necessità o meno di dotarsi di un’area candidato che possa essere gestita in maniera autonoma dalla persona interessata.
