Formazione privacy e Data Breach: il fattore umano


Cerchiamo di analizzare oggi la formazione in ambito privacy e data protection e il suo rapporto con le violazioni di dati personali (data breach). Innanzitutto ricordiamo, cos’è una violazione dei dati personali o data breach?

Il data breach è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

  • L’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • Il furto o la perdita di dispositivi informatici contenenti dati personali;
  • La deliberata alterazione di dati personali;
  • L’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • La perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • La divulgazione non autorizzata dei dati personali.

Come si può intuire, nella quasi totalità dei casi sopra riportati il fattore umano e la sua formazione (consapevolezza) gioca un ruolo fondamentale. Ecco cosa prevede la normativa europea in materia di formazione in ambito privacy e data protection.

Data breach: errori umani

Ad un anno dalla “Risoluzione per affrontare il ruolo dell’errore umano in violazione dei dati personali” discussa all’ICDPPC nel 2019, in cui si è indicato come gli studi nazionali e internazionali dimostrano che le violazioni di dati personali sono spesso comportate da errori umani, in particolare la divulgazione involontaria da parte dei dipendenti di dati personali a destinatari non autorizzati, consentendo anche l’accesso a informazioni e sistemi (“errore umano“), oggi a che punto siamo?

La predominanza del ruolo dell’errore umano nelle violazioni dei dati personali sottolinea l’importanza di costruire culture del posto di lavoro in cui siano presenti privacy e sicurezza come priorità organizzative. Questo anche attraverso l’attuazione periodica di formazione, istruzione e consapevolezza, integrando la privacy nella progettazione, nel funzionamento e gestione di sistemi e pratiche e nell’implementazione di soluzioni tecnologiche quali misure proattive per promuovere adeguate garanzie di sicurezza per prevenire gli errori umani.

Devono essere scelte preventivamente soluzioni che permettano di svolgere le funzioni di gestione dei dati in modo da eliminare ogni occasione di non necessaria conoscibilità degli stessi, anche adottando cautele particolari per evitare l’indebita circolazione di informazioni personali in capo a soggetti non autorizzati, non solo verso l’esterno, ma anche all’interno dei contesti lavorativi.

Il personale autorizzato/designato alle operazioni di trattamento deve essere debitamente istruito in ordine all’accesso e all’utilizzo delle informazioni personali di cui può venire a conoscenza nello svolgimento della propria prestazione lavorativa.

Relazione dell’Autorità Garante – Fascicolo sanitario elettronico (Fse) e dossier sanitario

Nella sua Relazione del 2019 l’Autorità Garante indica in materia di fascicolo sanitario elettronico (Fse) e dossier sanitario, gli interventi effettuati anche con riferimento a segnalazioni, reclami e data breach relativi all’erroneo inserimento, all’interno di tali strumenti, di documenti sanitari (quali referti o schede di dimissione ospedaliera) relativi a soggetti diversi dall’intestatario del Fascicolo o del dossier.

In alcuni casi, l’erroneo inserimento è stato determinato da una non corretta identificazione dell’interessato dettata dalla mancanza di procedure volte a verificare l’esattezza del dato e mancanza di formazione degli autorizzati al trattamento dati.

Al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati, si chiede ai titolari del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, in modo che l’accesso al dossier sia limitato al solo personale sanitario che interviene nel processo di cura del paziente e siano adottate opportune modalità tecniche di autenticazione.

A tal fine, nelle linee guida il Garante aveva anche indicato ai titolari del trattamento la necessità di effettuare un monitoraggio dei casi in cui il personale sanitario può avere necessità di consultare il dossier sanitario per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.

La mancanza di un’adeguata analisi e formazione ha creato i presupposti per l’accesso ai dati relativi alla salute contenuti nei dossier sanitari aziendali da parte del personale medico, non al fine di prestare le cure all’interessato, ma per ragioni personali, riconducibili, in talune ipotesi, alla “mera curiosità”. In questi casi l’Ufficio ha avviato un procedimento per l’adozione di provvedimenti correttivi e sanzionatori.

GPEN – Global Privacy Enforcement Network

Anche nel corso del 2019 è stato lanciato il Privacy Sweep, l’iniziativa promossa dal Global Privacy Enforcement Network la rete internazionale nata nel 2010 per rafforzare la cooperazione tra le autorità di protezione dati di diversi Paesi del mondo.

L’attività di “sweep” (indagine a tappeto) ha riguardato il tema della gestione delle violazioni di dati personali (data breach) da parte di soggetti pubblici e privati che operano sui rispettivi territori nazionali.

Dall’indagine internazionale è emerso che le organizzazioni intervistate hanno mostrato un alto livello di consapevolezza delle migliori pratiche da utilizzare per rispondere adeguatamente alle violazioni dei dati.

Sul fronte interno, il Garante ha analizzato le aziende del settore e-commerce. L’indagine svolta in Italia ha visto un tasso molto basso di risposta (circa 17 questionari ricevuti su 254 aziende interpellate), ancorché si sia registrata una complessiva consapevolezza del quadro giuridico in materia di violazioni dei dati personali.

Con riguardo alla formazione del personale, è risultato che i programmi di formazione non sono stati specifici o incentrati sul riconoscimento delle violazioni dei dati.

Articolo a cura di Jenny Nespoli | Data Protection Consultant, Labor Project.

Se ti è piaciuto l'articolo condividi: