In tutte le aziende, grandi o piccole, arriva il momento in cui liberarsi di un archivio pieno di vecchi faldoni, smaltire qualche computer ormai vecchio o assegnare il telefono aziendale ad una nuova persona. Cosa hanno in comune tutte queste situazioni? Faldoni, hard disk e smartphone sono pieni di dati sensibili di dipendenti, consumatori, collaboratori e clienti e anche zeppi di informazioni strategiche per l’azienda.
Perché il GDPR ti obbliga a distruggere i dati riservati in modo sicuro e certificato
Cosa succede se il supporto non è distrutto correttamente e i dati vengono smarriti? Cosa prevede il GDPR in questo caso? Vediamo tre domande che un’azienda dovrebbe porsi in relazione ai dati riservati contenuti in documenti di carta e digitali. Per essere conforme al GDPR ed evitare altri guai!
- La prima domanda: c’è una legge che mi obbliga a distruggere i dati riservati che conservo nei miei archivi di carta e nei miei computer. La risposta è Sì.
- La seconda: come faccio a liberarmi di questi dati senza rischiare conseguenze? La risposta è: adottando misure di sicurezza adeguate durante il processo di distruzione e/o smaltimento di archivi, hard disk e altri supporti. Quindi, no, non puoi affidarti alla ditta delle pulizie, a uno svuota – cantine o centri di recupero.
- La terza: se smarrisco (volontariamente o meno) i dati personali e questi sono recuperati integri da terzi (data breach) devo aspettarmi delle sanzioni? La risposta è Sì, le sanzioni sono pesanti e anche la reputazione rischia di andare in pezzi.
Queste domande possono sembrare superflue nella già complicata vita burocratica delle aziende italiane, ma dopo aver letto le conseguenze di un eventuale smarrimento o diffusione anche accidentale di dati riservati, siamo certi che avrai cambiato idea.
Cosa succede se il supporto con i dati riservati non è distrutto correttamente e i dati vengono smarriti? Le conseguenze per le aziende possono essere gravissime.
Cosa sono i dati personali secondo la definizione del GDPR e del Garante della Privacy
Secondo il GDPR i dati personali si possono dividere in 3 grandi categorie:
- I dati che permettono l’identificazione diretta: come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa);
- I dati rientranti in particolari categorie: si tratta dei dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;
- I dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale
I dati personali possono essere divisi in 3 grandi categorie: identificazione diretta, i dati sensibili e i dati giudiziar.
Cos’è una violazione dei dati personali (Data Breach)?
Sempre secondo le definizione del Regolamento GDPR, un data breach è una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Definizione di Data Breach: una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Alcuni esempi di violazione dei dati forniti dal Garante per la Privacy
- 1L’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- 2Il furto o la perdita di dispositivi informatici contenenti dati personali;
- 3La deliberata alterazione di dati personali;
- 4L’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- 5La perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- 6La divulgazione non autorizzata dei dati personali.
- 7
Documentazione cartacea integra inserita in contenitori aperti privi di serratura posizionati anche all’interno di perimetri aziendali.
Un data breach può avvenire in qualsiasi momento della vita di un’organizzazione. Il momento della distruzione di un archivio cartaceo o dello smaltimento di un supporto digitale però è particolarmente pericoloso.
Quando hard disk, smartphone o faldoni di archivio lasciano l’azienda, quello è il momento in cui una perdita di dati o violazione diventa più probabile ed è per questo motivo che vengono richieste ed imposte idonee misure al fine di mitigare o eliminare il possibile smarrimento.
Sanzioni previste dal GDPR in caso di data breach: fino a 20 milioni di euro
Nel caso in cui le organizzazioni (pubbliche amministrazioni, imprese) non rispettino gli obblighi previsti dal GDPR in materia di Data Breach, il Regolamento prevede:
Sanzioni pecuniarie fino a 10.000.000 euro o al 2% del fatturato mondiale anno dell’esercizio precedente, se superiore (primo scaglione), ovvero fino a 20.000.000 euro o al 4% del fatturato mondiale anno dell’esercizio precedente, se superiore (secondo scaglione).
Secondo il Garante, le violazioni più gravi sono quelle che ” possono avere effetti avversi sui significativi individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale “.
Il Garante ha più volte sanzionato i Titolari del trattamento che, essendosi affidati ad un provider “di fortuna”, hanno visto i loro documenti ei loro hard disk abbandonati nei luoghi più disparati.
Perché non posso affidarmi a un’azienda di macero o a un’impresa di pulizie per smaltire documenti, archivi o computer con dati personali?
Capita spesso che l’attività di distruzione venga demandata a terzi che non hanno certificazioni specifiche, mezzi e risorse per sanitizzare il dato in modo conforme al GDPR. Questo accade quasi sempre quando ci si rivolge a imprese di pulizie o traslochi, centri di recupero e macero.
Immaginiamo un Titolare del trattamento del dato che sta effettuando uno spostamento di uffici e vengano fuori documenti da distruggere.
Chiede alla società di traslochi di distruggerli senza verificare le misure di sicurezza richieste dal trattamento e senza sapere dove saranno portati i documenti.
Far ritirare un archivio aziendale solo con il FIR (formulario di identificazione dei rifiuti) trasferisce la responsabilità del rifiuto al centro di recupero ma lascia la responsabilità dei dati sempre e comunque al Titolare del trattamento.
Se il centro di recupero decide di processare i supporti tra un mese o 6 mesi lasciandoli in banchina, non elimina la responsabilità del Titolare del trattamento.
Questo perché una violazione può avvenire anche in un arco temporale indeterminato ed indefinito finché i dati non sono distrutti correttamente.
Per più tempo, le informazioni sono lasciate intatte, più aumenta il rischio di una violazione.
Far ritirare un archivio aziendale solo con il FIR (formulario di identificazione dei rifiuti) trasferisce la responsabilità del rifiuto al centro di recupero ma lascia la responsabilità dei dati sempre e comunque al Titolare del trattamento.
I nostri servizi di distruzione certificata
Abbiamo 4 sedi e i nostri impianti mobili sono presenti in tutte le regioni italiane.
