Cellulare aziendale perso o rubato: c’è da preoccuparsi?
Sì, e parecchio! Vediamo come è bene comportarsi.
Perdere il proprio telefono comporta danni economici (acquisto di un nuovo dispositivo) e di tempo (riconfigurarlo, reinstallare le app…).
Tuttavia, spesso ci dimentichiamo che ci sono altre conseguenze ben più gravi e pericolose.
Il cellulare (in particolar modo quello aziendale) è, a tutti gli effetti, un computer in cui sono conservati dati personali di ogni genere: dai contatti dei colleghi a quelli di clienti e fornitori, per non parlare di immagini e video non solo di eventi aziendali ma, spesso, relativi alla nostra vita privata.
Di cosa ci dobbiamo preoccupare?
Sicuramente bloccare la SIM e denunciare il furto sono le prime due cose da fare, ma la questione privacy non deve essere sottovalutata. Il GDPR (Regolamento Europeo in materia di trattamento dei dati personali e di privacy) chiarisce subito che la situazione va gestita in tempi brevissimi nell’ottica di tutelare tutte le persone a cui i dati presenti nel cellulare si riferiscono.
Il primo pensiero (dopo le dovute imprecazioni) va quindi alla procedura data breach che l’Azienda deve aver adottato: cosa comunicare, a chi e quando? (Per approfondire leggi il nostro articolo “Data Breach: segnalazione e gestione di una violazione di sicurezza”)
Ma che c’azzecca il data breach col cellulare rubato?
Breve ripasso: “data breach è qualsiasi violazione di sicurezza che comporta, anche accidentalmente, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati”.
Nessun dubbio, quindi, che il furto o la perdita di un cellulare aziendale rappresenti un data breach.
Quali sono i dati personali tipicamente presenti in un cellulare aziendale?
Salvati ed archiviati in locale sul telefono o su qualche piattaforma cloud (Dropbox, Google Drive…), i dati possono essere:
- Dati di contatto di clienti, amici, colleghi, etc.;
- Conversazioni su WhatsApp, Telegram, Messenger, etc.;
- Fotografie e video non solo di eventi aziendali, ma anche personali;
- E-mail con relativi allegati;
- Documenti di lavoro;
- Accesso ai vari social (con conseguente visualizzazione di liste di amici, post e conversazioni private);
- Dati bancari o di pagamento;
Può bastare?
Cosa fare quando ormai il danno è fatto?
Primo step
Prendere in mano la procedura data breach e segnalare immediatamente al Responsabile data breach della nostra Azienda quanto avvenuto (furto/perdita del dispositivo).
Lo so, molti di voi, in questo momento, staranno pensando: ma chi ce l’ha una procedura? La risposta è tranchant: ogni azienda deve avere una procedura di gestione data breach.
Perché? Perché lo impone il GDPR.
(Per approfondire leggi il nostro articolo “Data Breach: segnalazione e gestione di una violazione di sicurezza”)
Secondo step
Cosa deve fare l’Azienda?
Dal momento in cui riceve la segnalazione di sospetto data breach, entro 72 ore deve valutare quanto accaduto e capire se si sia trattato effettivamente di un data breach.
In caso affermativo:
- verificare se dal data breach ne conseguano rischi per gli Interessati coinvolti;
- successivamente, verificare se tali rischi siano “elevati”.
Terzo step
Nel caso in cui dal data breach ne conseguano rischi per gli Interessati coinvolti, sarà necessario notificare il data breach al Garante per la protezione dei dati personali.
Se questi rischi dovessero rivelarsi “elevati”, oltre alla notifica al Garante, l’Azienda dovrà notificare la violazione dei dati a tutti gli Interessati coinvolti.
In quale caso il furto/perdita di un cellulare non è un data breach?
Non si tratta di data breach nel caso in cui la nostra Azienda abbia applicato correttamente tutte le misure di sicurezza richieste dal GDPR, abbia agito in via preventiva proteggendo adeguatamente i dati presenti sul cellulare rendendo, in questo modo, pressoché impossibile la perdita, gli accessi non autorizzati, le modifiche o le divulgazioni.
Come?
Ad esempio, adottando le seguenti soluzioni:
- dati cifrati sul cellulare;
- password/pin per accedere a cartelle contenenti dati personali;
- screensaver con impronta digitale o riconoscimento facciale di sblocco;
- backup di tutti i dati contenuti nel cellulare.
In conclusione
Come ci insegna la medicina: prevenire è meglio che curare.
Se l’Azienda interpreta correttamente i dettami del GDPR, perdere o subire il furto di un cellulare non dovrebbe mai rappresentare una violazione di sicurezza per il semplice motivo che nessun dato andrebbe perduto e nessuno potrebbe mai accedere ai dati eventualmente presenti sul dispositivo.
Mettiti al sicuro da questi imprevisti. Contatta il servizio di PrivacyUP per tutelare la Tua Azienda!
