Data Breach, cosa è e come prevenirlo

Il Regolamento Generale sulla Protezione dei Dati (GDPR) disciplina il cosiddetto “data breach” prevedendo, per la maggior parte dei casi, l’obbligo di comunicazione agli interessati da parte del Titolare del Trattamento, affinché ci sia una tutela completa verso chi ha subito una perdita di dati.

COSA E’ UN DATA BREACH

Il Regolamento la definisce come una “Violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (Art. 4.12 GDPR)

L’evento può essere intenzionale o accidentale e non riguarda necessariamente dati informatici, ma anche cartacei, informazioni trasmesse oralmente, ecc.

Quindi una data breach può configurarsi come:

  • Furto di dati da parte di un hacker: accesso non autorizzato e possibile utilizzo illecito o divulgazione delle nostre informazioni personali. Viene compromessa la riservatezza.

  • Ransomware che provoca la crittografazione di un database: modifica il dato e lo rende inaccessibile. Viene compromessa la disponibilità.

  • Incendio che invade un archivio cartaceo: determina la distruzione dei dati. Viene compromessa l’integrità.

PERCHE’ UN DATA BREACH E’ PERICOLOSO

Se affrontato in modo non adeguato o non tempestivo, il data breach può provocare danni fisici, materiali o immateriali alle persone fisiche, perdite finanziari, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata (C.85 GDPR).

Anche assumendo una prospettiva totalmente centrata sul business e sul valore dei dati, è opportuno evidenziare che le loro idonee custodie, analisi e gestione, permettono di ottenere effetti positivi su molti aspetti operativi specifici, ad esempio per la guida delle scelte di marketing o la gestione delle vendite, e conseguentemente per il successo della propria organizzazione. Insomma, la protezione dei dati dovrebbe essere una preoccupazione che non riguarda “solamente” la tutela della privacy.

COSA FARE IN CASO DI DATA BREACH

Quando il titolare rileva una violazione, può avere l’obbligo di notificarla all’autorità senza ingiustificato ritardo, e comunicare la violazione agli interessati (Art. 33 GDPR).
Non tutti i Data Breach comportano l’obbligo di notifica al garante e non tutte le violazioni notificate vanno poi comunicate agli interessati.

Al fine di stabilire se si rientra in tali obblighi, è necessario effettuare una stima del rischio per i diritti e le libertà degli interessati. Ad esempio, lo smarrimento di un hard-disk contenente un backup può anche non determinare alcuna notifica, a patto che i dati presenti sull’hard-disk siano stati preventivamente criptati.

Avere una Procedura di gestione del Data Breach per stabilire le attività da rispettare è in linea con il principio di accountability. Tale procedura dovrebbe tenere in considerazione almeno le modalità di rilevazione e presa coscienza della violazione, i ruoli e le funzioni assegnate all’acquisizione di informazioni sull’incidente, le modalità di svolgimento dell’eventuale notifica al Garante e agli interessati, nonché le implementazioni previste per adeguare i propri livelli di sicurezza.

COME PREVENIRE UN DATA BREACH

Non esiste una strategia assoluta per la gestione della sicurezza dei propri dati. Ciascun titolare deve avere consapevolezza dei dati di cui dispone, identificare quelli che necessitano di maggiore attenzione e predisporre misure di sicurezza adeguate.

Si possono comunque individuare alcune misure imprescindibili adatte a molteplici contesti:

  • Valutazione del rischio. Esaminare probabilità e gravità di tutti i tipi di minaccia consente di stabilire le priorità e guidare le azioni volte a implementare il sistema. N.B. La sicurezza di una rete è pari alla sicurezza del suo anello più debole!
  • Attività formativa e organizzativa. La formazione dei propri dipendenti, la distribuzione delle responsabilità, la gestione differenziata dei privilegi nel trattamento dei dati aiutano a contenere il rischio dei errori umani, particolarmente frequenti
  • Misure di sicurezza tecniche/informatiche anti-virus, anti-malware, firewall e backup (con regolari prove pratiche di ripristino), sono pratiche diffuse ma spesso trascurate.

Scopri la consulenza tecnico-legale di T.net su Data Protection & Gdpr