Cosa c'entra la crittografia con il GDPR?
Il 25 maggio 2018 è entrata in vigore la nuova legge sulla protezione dei dati personali (o sensibili) basata sul Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (GDPR) che viene applicata alla maggior parte delle aziende italiane. Sia il Regolamento che la legge riguardano le aziende che trattano dati personali dei cittadini dell’UE. Se la vostra azienda ha dei clienti o dei dipendenti, sicuramente tratta questo tipo di dati.
Sia il Regolamento che la nuova legge contengono diverse sanzioni finanziarie (e non) che possono ricadere sulle aziende. Un esempio è se viene divulgato il database aziendale dei clienti. Non deve necessariamente contenere indirizzi e numeri di telefono, basta che includa qualsiasi tipo di dato personale, anche solo nomi e cognomi. E non è rilevante se si è trattato di un errore di un dipendente o se la vostra azienda è stata attaccata da un hacker. Il risultato è che, in entrambi i casi, sono stati divulgati dei dati personali.Il risultato di questo tipo di incidente è che la vostra azienda può essere soggetta a due sanzioni o obblighi. La prima sanzione è finanziaria e ammonta a un massimo di 10 milioni di euro oppure al 2% del fatturato globale annuo. L’organo governativo preposto può inoltre imporre di informare dell'incidente i clienti interessati, ovvero quelli il cui nome era presente nel database in oggetto. Si tratta di una decisione logica e pratica, come per esempio avvertire gli utenti di un e-commerce che tutti i loro dati personali sono stati rubati in seguito a un attacco informatico. Anche se si presume che i dati di accesso fossero sul server in forma criptata, gli utenti possono comunque decidere, per sicurezza, di reimpostare la propria password. Per un’azienda, l’obbligo di informare le persone interessate da una fuga di dati sensibili può incrinare la propria reputazione. Il cliente, infatti, potrebbe decidere che forse è meglio passare alla concorrenza.
Tutto questo, però, non si applica se i dati sono criptati. Se nell'azienda ha luogo una violazione dei dati personali, per esempio un furto, ai sensi del GDPR e della legge, è necessario informare l’Autorità di controllo competente entro 72 ore dal momento in cui si è scoperta la violazione, non dal momento della violazione stessa. Non deve essere stato necessariamente trafugato l’intero database, ma può trattarsi anche solo di danni all'archivio dei dati o di un errore di lieve entità, per esempio l’invio per errore dei dati di un cliente a un altro. Se si perde una chiavetta USB contenente l’elenco dei clienti oppure la si invia a qualcuno per errore, ma questi dati erano criptati, non c'è alcun obbligo di informare i clienti. I dati criptati, infatti, non possono essere letti senza la chiave di decodifica. Quindi l’obbligo di informare le persone interessate a proposito di un incidente relativo ai dati personali o sensibili non si applica ai dati criptati.
Come si fa a dimostrare che i dati trapelati sono davvero criptati? Le soluzioni di crittografia in genere creano report in cui si indica che il contenuto di un dispositivo è stato criptato. È un sistema che attesta che il dispositivo o il documento rubato e/o perso conteneva dati personali, ma che questi erano criptati.È bene ricordare che se l’Autorità di controllo non viene informata della perdita dei dati, l'azienda sarà sottoposta a una sanzione di altro tipo. Per esempio, se non si può dimostrare di avere il consenso al trattamento dei dati personali, la sanzione può arrivare fino a 20 milioni di Euro oppure al 4% del fatturato globale annuo.
Quali sono le soluzioni ESET per criptare i dati ? Clicca qui
