Luca, dipendente scrupoloso, aveva bisogno di un documento urgente e ha pensato di usare una sua chiavetta USB per trasferirlo velocemente. Peccato che quel dispositivo, usato anche sul PC di casa, contenesse un malware latente.
Risultato? Accessi non autorizzati al gestionale aziendale e dati personali di colleghi, clienti e fornitori compromessi. Il più classico dei data breach.
“Chi ha inserito la chiavetta usb?”, risuona in ufficio.
Un gesto apparentemente innocuo può aprire la porta a violazioni molto gravi, che si possono evitare attraverso consapevolezza, procedure standardizzate e formazione.
L’adeguamento privacy non è solo sistemare le videocamere di sorveglianza o mettere le password ai PC. Essere a norma con gli obblighi del Regolamento UE 2016/679 e con il D.Lgs. 101/2018 significa stabilire una rotta aziendale che tenga conto dei diritti e dei doveri delle persone che trattano dati personali e delle persone a cui quei dati appartengono.
Quali sono questi famosi dati pesonali? Eccone alcuni, di quelli definiti “comuni”:
- Nome e cognome
- Data e luogo di nascita
- Codice fiscale
- Indirizzo di residenza o domicilio
- Numero di telefono fisso o mobile
- Indirizzo e-mail
- Numero Carta d’identità o Patente
- Targa del veicolo
- Dati bancari o IBAN
- Posizione lavorativa (mansione, reparto)
- Immagini o video della persona
- Dati di accesso (es. username, login aziendali)
Quali sono i rischi per l’azienda?
Come se non bastasse lo spauracchio di una paralisi aziendale, colpita nell’operatività e costretta a impiegare giorni per ripristinare condizioni sicure, queste disattenzioni sono considerate molto gravi anche dal Garante per la Protezione dei Dati personali prevede. L’autorità di controllo italiana, tra le più severe in Europa, può seguire due strada in base alla tipologia di situazione venutasi a verificare:
-
violazioni punibili ai sensi dell’articolo 83, paragrafo 4, GDPR, con una sanzione pecuniaria massima di 10 milioni di euro o del 2% del fatturato annuo dell’impresa, se superiore ai 10 milioni;
-
violazioni punibili ai sensi dell’articolo 83, paragrafi 5 e 6, GDPR, con una sanzione pecuniaria massima di 20 milioni di euro o del 4% del fatturato annuo dell’impresa, se superiore ai 20 milioni.
Scopri il nostro servizio di adeguamento privacy personalizzato: ti aiutiamo a individuare i trattamenti effettuati, valutarne i rischi, redigere la documentazione necessaria (la nostra è certificata ISO 27001) e formare il personale.
Clicca sul banner e completa la checklist sulla Privacy, preparata da Fast-Security.
Bastano pochi minuti per prendere consapevolezza dei miglioramenti necessari per rispettare la normativa e per evitare frasi come “Chi ha inserito la chiavetta usb?”
