A chi non è capitato, spesso grazie anche alla compilazione automatica dell’indirizzo, di inviare un’e-mail al destinatario sbagliato?
Come ci si deve comportare e cosa prevede la normativa privacy?
Breve ripasso sul Data Breach
Come oramai tutti sappiamo, data breach è qualunque violazione di sicurezza che comporta (accidentalmente o in modo illecito) la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di tali dati.
Qualche esempio di data breach:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni (virus, malware, ecc.);
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
L’invio di un’e-mail al destinatario sbagliato è un data breach? Non sempre.
Nel caso in cui:
- nel testo dell’e-mail (o in un suo allegato) dovessero essere presenti dei dati personali (informazioni relative a persone fisiche individuate o individuabili); e
- il destinatario dell’e-mail non dovesse essere autorizzato ad accedere a tali dati,
allora ci troviamo in presenza di un data breach.
La tempistica è fondamentale!
Dopo la scoperta di una violazione dei dati personali, la tua Organizzazione dovrà:
- indagare sull’evento e decidere se si è trattato effettivamente di un data breach;
- definire la portata e l’impatto della violazione sui diritti e le libertà delle persone fisiche coinvolte (Interessati) e
- decidere se, oltre a notificare il data breach all’autorità competente (Garante per la protezione dei dati personali), effettuare tale notifica anche a tutti gli Interessati coinvolti (nei casi più gravi).
