Diventa Autore per CoreTech | Scopri di più





Gdpr - Privacy Multa del garante di 600 mila euro ad una banca a seguito di un Data Breach.

06/08/20 Avvocato Dalla Riva Blog

 Accessi logici e principio di minimizzazione dei dati

dell’Avvocato Gianluca Dalla Riva

Una banca di primaria importanza nel panorama italiano è stata sanzionata dal Garante, in applicazione della normativa che era in vigore anteriormente rispetto al regolamento (UE) 2016/679 c.d. GDPR, a seguito di una violazione di dati personali avvenuta nel 2017, relativamente ai dati dei propri correntisti (oltre 700 mila).

Il provvedimento è interessante perché sanziona la mancata adozione delle misure minime di sicurezza (secondo la terminologia utilizzata prima del GDPR), e come si legge nel provvedimento:

“- la violazione delle misure minime di sicurezza ex art. 33 del Codice è stata accertata con riferimento all’inosservanza delle regole nn. 12 e 13 del disciplinare tecnico di cui all’All. B) al Codice, in relazione all’utilizzo di un non idoneo sistema di autorizzazione dell’applicativo xxx e all’assenza del “limite di accesso” dei profili di autorizzazione ai soli dati necessari per effettuare le operazioni di trattamento;

-la violazione delle misure prescritte con il provvedimento n. 192 del 12 maggio 2011 è stata accertata in relazione alla inadeguatezza e alla non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicativo xxx, alla mancata implementazione di alert per le operazioni svolte attraverso il citato applicativo e alla mancata esecuzione di attività di audit interni di controllo;”.

In particolare ci si richiama a quello che ora viene definito nell’art. 5 § 1 lett. c) del GDPR come principio di minimizzazione dei dati personali, secondo cui, all’interno dell’organizzazione, il titolare del trattamento deve consentire l’accesso ai dati personali al proprio personale solo in quanto necessario.

Questo comporta l’obbligo di attribuire l’accesso ai dati personali al personale aziendale solo nei casi in cui per svolgere le proprie mansioni sia necessario il trattamento di quei dati e, comunque, solo nei limiti di quanto necessario, secondo analisi e valutazioni ben circostanziate.

Per non violare questo principio, rischiando di incorrere in sanzioni, è necessario predisporre preventivamente, tra l’altro, l’organigramma aziendale, la mappatura dei trattamenti e l’analisi e gestione del rischio a cui, poi, deve fare seguito un’attenta attribuzione degli accessi logici e fisici secondo le conclusioni raggiunte dalla propria analisi e valutazione. Tutto questo debitamente documentato.

Banner

Io per far questo, utilizzo la mia cartella excel, che ho chiamato privacyRID, oltre 60 fogli coordinati tra loro, per gestire i più importanti adempimenti privacy (per esempio analisi e gestione del rischio, gestione dei data breach, mappatura dei trattamenti, registri, organigrammi, analisi del contesto, gestione della formazione, gestione accessi logici e fisici, ecc.).

A questo si deve aggiungere anche una debita tracciatura dei log, in relazione al contesto di rischio del titolare del trattamento, nonché verifiche successive, anche tramite audit ed allert, per monitorare l’adeguatezza delle scelte tecniche ed organizzative effettuate.

Si tratta come visto di un adempimento fondamentale, che deve essere parte centrale del modello di gestione della privacy adottato dall’organizzazione.

Se poi sei un MSP, suggerisco di leggere i provvedimenti dei Garante che sanzionano i data breach, vedrai che troverai molte indicazioni pratiche sulle misure tecniche da applicare secondo le diverse circostanze esaminate, che si ripetono costantemente anche per altri titolari del trattamento.

Ad ogni modo può anche esserti utile anche per capire cosa ti aspetta se non intendi accollarti gli adempimenti privacy all’interno della tua organizzazione o supportando in questo senso anche i tuoi clienti.


Articoli su GDPR

Corso di formazione Online GDPR e Privacy!Il corso generale sul regolamento GDPR, disponibile dal 21 Giugno 2021!In arrivo il corso generale sul regolamento GDPRNuovo Corso GDPRTalk: Compliance Privacy e aspetti pratici: da dove cominciare?Corso Online GDPR e Privacy!Video corso Data Breach - Sai cosa gestirne uno?Gdpr - Privacy Multa del garante di 600 mila euro ad una banca a seguito di un Data Breach.Come avvicinarsi alla Privacy con il metodo SocraticoGarante contro Inps: software di controllo dei certificati medico-legaliCrowdfunding e regolamento GDPR: niente soldi senza Compliance PrivacyGestione Data Breach: non buttare via i dati compromessiRuoli Privacy: MSP quale responsabile del trattamentoMSP (Managed Service Provider) e DPA (Data Processing Agreement): Uno, Nessuno, CentomilaGDPR – PRIVACY Analisi e gestione del rischio: quale regola tecnica scegliere?Obbligo di formazione Privacy anche sulla gestione dei Data BreachAttacchi Social Engineering e MSP: la procedura di riconoscimentoLa nuova frontiera della consulenza: la PrivacyPrivacy Shield: cos’è e perché l’Ue lo annullaGDPR – PRIVACY: una multa di 80 mila euro per la mancata risposta ad una lettera all’interessatoAvvocato Dalla Riva - MSP e gestione dei Data Breach. Quale approccio? | Summit LiveCoreTech partecipa a DATA TALK 2018 - Sicurezza informa e GDPRStrumenti Tecnici per GDPR versione 1.0Perché Sygma costa così poco?Il GDPR con Sygma è più facile!Bollettino Cloud - Marzo 2018GDPR che pa..e!Dati al sicuro e GDPR compliance? Semplice…. 1Backup!GDPR e la sicurezza dei dati, nuovi obblighi

Video Premium su GDPR

Corsi Premium - GDPR