DOMANDA
Hanno rubato dal portabagagli dell’auto il laptop di un nostro collaboratore. Tale Pc era protetto da password ed il suo disco cifrato. Tutti i dati che elabora il nostro collaboratore sono presenti e gestibili sui nostri portali aziendali, tuttavia non possiamo escludere che fossero state eseguite alcune estrazioni e che i file contenenti dati personali di alcuni clienti fossero presenti sull’hard disk del Pc. Non utilizziamo una soluzione DLP per impedire che tali dati vengano memorizzati sui singoli PC, inoltre questo spesso serve per esigenze operative. Dobbiamo notificare il data breach?
RISPOSTA
Se i dati sono ancora tutti presenti sul sistema aziendale non è stata compromessa la disponibilità di tali informazioni. Se nessun accesso a tali dati può essere avvenuto, neppure grazie al dispositivo rubato, non è stata compromessa l’integrità delle informazioni. La protezione con password e crittografia dei dati potrebbe permettere di affermare che neppure la riservatezza di tali dati è stata compromessa. Tolta la non necessità di eventuale notifica agli interessati, grazie all’utilizzo della crittografia, se la vostra analisi del potenziale impatto per gli interessati vi permette di affermare con sufficiente certezza che neppure la riservatezza delle informazioni è stata messa a rischio, in questo caso potrete evitare di effettuare la notifica all’Autorità.
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
