Candidature inviate tramite siti web. Le valutazioni dell'EDPB nelle Linee guida 01/2022 - Caso n.05
Il reparto delle risorse umane (c.d. "Human Resources" HR) ha avuto, negli ultimi decenni, sempre maggiore sviluppo. Il reclutamento del personale passa infatti oggi per diversi canali: dai tradizionali Centri per l’impiego, Agenzie per il Lavoro, servizi di Placement scolastici e universitari, nuove piattaforme social, come LinkedIn, e nuovi siti web dedicati all'intermediazione della domanda/offerta di lavoro (compresi i servizi di Placement formativo pubblicizzati tramite annunci online) stanno diventando sempre più dei poli attrattivi capaci di un "tasso di conversione contrattuale" estremamente elevato.[1]
Le Lineee-guida dell'European Data Protection Board del 14 gennaio 2022[2], adottate allo scopo di completare quanto già descritto dalle Linee-guida del 3 ottobre 2017 ("Guidelines WP250")[3] riguardo alla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679 ("GDPR"), raccomandano, al paragrafo n.03, Caso n.05, talune condotte da tenere in caso si verifichi un'esfiltrazione di dati personali, di informazioni contenute in candidature a offerte di lavoro inviate tramite siti web.
Nell'esempio in questione, sul sito web di un'agenzia di reclutamento del personale, vittima di attacco informatico, è stato installato un codice malevolo che rendeva accessibili a soggetti non autorizzati le informazioni personali rilasciate dai candidati durante la compilazione dei form online. Il particolare tipo di Toolkit installato sul sito aveva funzionalità che consentivano all'attaccante di rimuovere ogni cronologia delle esfiltrazioni, poteva inoltre monitorare i server e intercettare i dati. La rilevazione della violazione di dati personali è avvenuta un mese dopo l'incidente di sicurezza, l'attaccante ha quindi potuto agire indisturbato durante detta finestra temporale. Ma fortunatamente nessuna categoria di dati particolari è stata oggetto della violazione.
Come la maggior parte delle violazioni di dati personali, taluni incidenti di sicurezza si possono prevenire garantendo: sistemi sempre aggiornati; la crittazione di dati particolari; applicazioni sviluppate sulla base di alti standard di sicurezza; l'autenticazione a più fattori; back-up; audit periodici di sicurezza e frequenti test per valutare le vulnerabilità dei sistemi. Occorrerebbe inoltre sempre indagare sulle cause che hanno consentito l'attacco e i metodi usati dall'attaccante, così da prevenire incidenti in futuro dello stesso tipo. Infatti, se si è conoscenza del tipo di attacco è certamente possibile predisporre le più idonee misure di sicurezza, tecniche e organizzative, per prevenire o comunque mitigare effetti negativi e relativi rischi.
Posto che una violazione di dati personali dev'essere sempre documenta ai sensi dell'art 33, par. 5 GDPR, congiuntamente a tutte le circostanze di fatto che la caratterizzano, qualora venga rilevato che un elevato rischio possa compromettere i diritti e le libertà delle persone fisiche, il titolare del trattamento ha l'obbligo di notifica all'Autorità Garante (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, eventualmente corredando dei motivi del ritardo) e l'obbligo di comunicazione agli interessati (ed è necessario fornire loro informazioni specifiche sulle misure che questi possono prendere per proteggersi).
Disponendo quindi dei canali di comunicazione più idonei affinché pervenga il messaggio agli interessati, il titolare del trattamento deve fornire almeno le seguenti informazioni: una descrizione della natura della violazione; il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto; una descrizione delle probabili conseguenze della violazione; una descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione e attenuare i possibili effetti negativi.
Giacomo De Simio
- [1]https://www.adecco.it/servizi-per-le-aziende/mondo-del-lavoro/canali-di-recruiting
- [2]https://www.unipa.it/amministrazione/direzionegenerale/prevenzionedellacorruzione/u.o.normativaeregolamentidiateneoeprivacy/.content/documenti/privacy/Linee-guida-in-materia-di-notifica-delle-violazioni-di-dati-personali-data-breach-notification---WP250.pdf
- [3]https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf