Data Breach
Violazione della privacy e perdita dei dati
Cosa si intende per Data Breach?
Un Data Breach, o violazione dei dati personali, è una falla nella sicurezza che comporta la distruzione, la copia, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati sensibili o confidenziali.
La divulgazione non autorizzata dei dati può verificarsi in diverse situazioni, dallo smarrimento di una chiavetta usb contenente dati riservati al furto di un notebook contenente dati confidenziali. La gestione e la prevenzione di queste situazioni sono cruciali per proteggere la sicurezza dei dati.
Tipologia di data breach
Possiamo identificare tre macro-categorie di data breach:
- Confidentiality Breach: quando i dati sono oggetto di divulgazione o accesso da parte di terzi non autorizzati.
- Availibility Breach: quando i dati non sono più disponibili temporaneamente o definitivamente.
- Integrity Breach: quando i dati sono stati modificati da persone non autorizzate o in modo accidentale.
L’analisi dell’incidente deve quindi concentrarsi su questi tre aspetti chiave per permettere una valutazione del rischio, anche in funzione delle misure di sicurezza adottate. Dopo questa valutazione, vengono identificate le azioni da intraprendere e stabilite le relative priorità.
Fasi di gestione di un data breach
Potremmo ipotizzare che un adeguato processo di getsione del data breach si articola nelle seguenti fasi:
- La prima fase consiste nel rilevare l’incidente o la violazione dei dati. Questo può avvenire attraverso sistemi di monitoraggio, segnalazioni interne o segni evidenti di un problema di sicurezza.
- Individuare un ordine di priorità e di criticità di dati coinvolti e di servizi da poter eventualmente interrompere.
- Lavorare per ripristinare i servizi e la confidenzialità dei dati.
- Una volta contenuta la situazione, si procede a un’analisi approfondita dell’incidente. Si cerca di identificare la causa radice, le vulnerabilità sfruttate e le misure di sicurezza insufficienti che hanno permesso la violazione.
- Valutare l’impatto del data breach.
- In base alle leggi sulla protezione dei dati, potrebbe essere obbligatorio notificare le persone coinvolte nell’incidente, oltre al Garante per la Privacy.
Data breach e GDPR
Nel caso in cui si verifichi una violazione dei dati, il GDPR ha definito una procedura standard da seguire per mitigare i potenziali danni.
Se la fuga di dati costituisce un rischio per i diritti e le libertà delle persone coinvolte, è obbligatorio notificare la violazione entro 72 ore dalla sua scoperta. Qualsiasi ritardo nella notifica deve essere giustificato adeguatamente. Il termine di 72 ore viene calcolato a partire dal momento in cui il titolare del trattamento dei dati ha la certezza della violazione. La scoperta di un data breach può variare da caso a caso: in alcuni casi, è immediatamente evidente, mentre in altri potrebbe richiedere un’indagine approfondita per confermare che effettivamente dei dati siano stati compromessi. Fino a quando non si è certi della violazione dei dati, non si è obbligati a notificarla, ma è importante evitare ritardi ingiustificati.
La notifica deve essere inviata al Garante per la protezione dei dati personali e a tutte le parti interessate che potrebbero subire gravi danni. Durante questo processo, è fondamentale seguire il “Protocollo di risposta” stabilito e coinvolgere il dipartimento aziendale responsabile del problema. È possibile che, a seconda delle circostanze, si debbano anche informare le autorità pubbliche competenti, che potrebbero includere ministeri e altre autorità specifiche oltre al Garante per la protezione dei dati personali.
Come segnalare un Data Breach
Nello specifico come si segnala un Data Breach?
-
Segnalazione chiara e tempestiva
In caso di violazioni della privacy, la notifica va fatta in maniera chiara e tempestiva. -
Segnalazione al responsabile dell'area aziendale coinvolta
La segnalazione al responsabile deve essere effettuata appena si viene a conoscenza della violazione. -
Segnalare i dettagli
È fondamentale che la notifica includa tutti i dettagli pertinenti sulla violazione. Ciò significa specificare le modalità con cui è avvenuta la violazione, identificare le parti coinvolte e descrivere la tipologia di dati compromessi. -
Responsabile della protezione dei dati
Occorre fornire le informazioni di contatto del responsabile della protezione dei dati o del referente designato.