Cosa fare in caso di data breach, ossia nel caso di violazione dei dati personali?
È una questione che il nostro studio si trova ad affrontare sempre più spesso con i clienti che hanno un’azienda online. Infatti l’importanza della sicurezza informatica è in costante crescita. Sia le imprese private che gli enti pubblici raccolgono sempre più spesso dati personali. È diventato quasi impossibile svolgere certe operazioni online senza fornire i propri dati personali.
Ma qual è la procedura corretta per un’organizzazione che si trova di fronte a un data breach, ossia alla compromissione di questi dati?
Gli incidenti di sicurezza sono purtroppo eventi non così infrequenti. Per questo motivo, in questo articolo, ti forniremo indicazioni chiare e approfondite su come gestire tali emergenze.
CONTENUTO DELL'ARTICOLO
- 1 Che cosa s’intende per data breach
- 2 Procedura data breach, cosa fare in 5 punti
- 3 Bisogna sempre notificare il data breach agli interessati?
- 4 Bisogna sempre notificare al garante?
- 5 Quali sono le responsabilità del titolare del trattamento in caso di data breach
- 6 Come prevenire il data breach
- 7 Esempio di procedura in caso di violazione dei dati
- 8 Legal for Digital: un partner nella prevenzione e gestione del data Breach
Che cosa s’intende per data breach
Il “data breach” si riferisce a una violazione della sicurezza che porta, volontariamente o accidentalmente, alla distruzione, perdita, modifica, divulgazione non autorizzata o accesso a dati personali trasmessi, conservati o comunque trattati.
Quando si verifica un data breach è essenziale che le organizzazioni rispondano prontamente e seguano le procedure previste dal GDPR o altre normative applicabili.
La violazione dei dati personali può essere accidentale oppure volontaria.
Distinguiamo due casistiche.
Data breach per violazione volontaria:
– Attacchi informatici:questi sono spesso perpetrati da hacker o malintenzionati con l’obiettivo di accedere, rubare o alterare dati personali. Comprendono tecniche come phishing, malware, ransomware e attacchi DDoS.
– Accesso interno non autorizzato: situazioni in cui dipendenti o collaboratori interni, con cattive intenzioni, accedono o manipolano dati al di fuori dei loro compiti specifici o autorizzazioni.
– Condivisione deliberata: quando un individuo o un’organizzazione condivide intenzionalmente dati personali senza il consenso necessario o al di fuori delle normative vigenti.
– Vendita di dati: casi in cui i dati personali vengono venduti a terzi senza il consenso degli interessati o in violazione delle leggi sulla privacy.
Data breach per violazione accidentale dei dati
– Errori umani: questi possono includere invii di e-mail al destinatario sbagliato, pubblicazione accidentale di dati sensibili online o smarrimento di dispositivi contenenti dati personali.
– Mancate misure di sicurezza: questo può accadere quando un’organizzazione non implementa correttamente misure di sicurezza, come firewalls o software antivirus, esponendo i dati a rischi non intenzionali.
– Perdita fisica di dati: ad esempio, la perdita o il furto di dispositivi come laptop, smartphone o hard disk contenenti dati personali.
– Divulgazione non intenzionale: Situazioni in cui dati personali vengono rivelati a terzi non autorizzati al trattamento, senza che ciò sia stato voluto, come a causa di configurazioni errate di sistemi o piattaforme.
Data breach in base alla natura della violazione dei dati
Quando si verifica una compromissione dei dati personali, possiamo classificarla in base alla natura della violazione. Ogni tipo di violazione richiede misure specifiche di prevenzione, rilevamento e intervento, e le organizzazioni sono tenute a rispondere prontamente e in modo efficace quando si verificano tali eventi.
Esistono principalmente tre tipi di violazione dei dati personali:
- Violazione della riservatezza: si riferisce alla divulgazione non autorizzata o accidentale di informazioni personali.
- Divulgazione Non Autorizzata: condivisione intenzionale di dati senza il consenso dell’interessato o in violazione delle normative
- Accesso indebito: situazioni in cui un terzo accede ai dati senza autorizzazione, spesso a causa di falle nella sicurezza.
- Divulgazione accidentale: esposizione involontaria di informazioni, come un’email inviata per errore al destinatario sbagliato.
- Violazione della disponibilità: questa tipologia riguarda l’inaccessibilità o la perdita dei dati personali.
- Perdita di accesso: problemi tecnici o di sicurezza che impediscono l’accesso ai dati.
- Distruzione dei dati: perdita permanente di informazioni, che può avvenire intenzionalmente o a causa di guasti.
- Attacchi di ransomware: i dati vengono criptati e “tenuti in ostaggio” da malintenzionati.
- Violazione dell’Integrità: si verifica quando i dati personali vengono alterati senza il dovuto permesso.
- Modifica non autorizzata: un soggetto terzo altera i dati compromettendo la loro autenticità.
- Errore accidentale: modifiche involontarie dei dati a causa di errori umani o tecnici.
Procedura data breach, cosa fare in 5 punti
Il Regolamento Generale sulla Protezione dei Dati (GDPR) ha introdotto norme rigorose relative al trattamento dei dati personali e alla procedura da seguire in caso di data breach. Se un’azienda subisce una violazione di dati che rientra nel campo di applicazione del GDPR, ecco i passaggi da seguire:
Identificazione e documentazione del data breach
La valutazione iniziale di un sospetto data breach rappresenta il primo passo fondamentale per comprendere la natura dell’incidente.
Questa fase si concentra sulla raccolta di tutte le informazioni preliminari riguardanti l’evento in questione, analizzando log di sistema, segnalazioni interne e ogni altra anomalia rilevate. Il fine primario è la determinazione dell’esistenza di data breach e, in caso affermativo, determinare la natura della violazione.
Solo attraverso una corretta valutazione iniziale è possibile definire le azioni correttive da adottare e decidere se procedere con la notifica alle autorità competenti. Per questo si consiglia di consultare esperti e legali specializzati in protezione dei dati personali per una valutazione accurata.
Una volta determinato se ci troviamo di fronte a una violazione e quale tipologia di violazione sia occorsa, l’azienda può passare alle fasi successive della gestione del data breach, come la notifica alle autorità e la valutazione dell’impatto.
Notifica del data breach alle autorità di controllo
Se un’azienda scopre una violazione dei dati, il GDPR impone di notificare tale data breach. L’art. 33 del Regolamento prescrive che questa notifica avvenga entro 72 ore dalla scoperta, senza ritardi ingiustificati. Se la notifica avviene dopo le 72 ore, l’azienda deve fornire una motivazione per tale ritardo.
Molte aziende italiane considerano questo obbligo di notifica entro 72 ore come uno dei più impegnativi del GDPR.
Con l’adozione del GDPR, è stato introdotto il registro data breach, dove vanno annotati dettagli come la natura della violazione, le sue conseguenze, la data di scoperta, e se si è notificato o meno al Garante Privacy.
La comunicazione di un data breach va fatta all’autorità di controllo nazionale, che in Italia è rappresentata dal Garante Privacy. Se necessario, anche le persone i cui dati sono stati compromessi devono essere informate.
Le linee guida originali sul GDPR potevano non sembrare del tutto chiare su tutti i casi in cui notificare un data breach. Per questo motivo, nel gennaio 2021, l’European Data Protection Board (EDPB) ha rilasciato nuove linee guida per offrire maggiore chiarezza.
È compito del Titolare del Trattamento dei dati, l’entità che decide come e perché trattare i dati personali, segnalare qualsiasi data breach.
Anche se in azienda c’è un DPO (Data Protection Officer), la responsabilità finale della comunicazione rimane sempre del Titolare.
Valutazione dell’Impatto del data breach
È essenziale determinare l’entità della compromissione per prendere decisioni informate e adottare le misure correttive più appropriate.
Innanzitutto, è fondamentale quantificare il volume dei dati esposti: si tratta di informazioni di pochi utenti o di una vasta porzione della base dati?
Analizzare la natura dei dati coinvolti è altrettanto critico: erano dati sensibili, come informazioni finanziarie o dati medici, o informazioni di base, come nomi o indirizzi email?
Altresì, bisogna considerare le potenziali ripercussioni sulla reputazione dell’azienda e la fiducia degli utenti. Una valutazione accurata comprende anche la determinazione di possibili vulnerabilità future, ossia capire se il data breach potrebbe aprire la porta ad altre violazioni. Infine, la valutazione deve tener conto delle potenziali conseguenze legali e regolamentari. Il mancato rispetto di normative come il GDPR, potrebbe portare a pesanti sanzioni. In sintesi, valutare l’impatto di un data breach consente alle aziende di avere un quadro chiaro della situazione, fondamentale per pianificare una risposta efficace e tempestiva. Queste informazioni determineranno se è necessaria una comunicazione diretta agli interessati.
Informazione agli interessati al trattamento
L’Art. 34 del GDPR stabilisce la necessità di informare gli interessati in caso di violazioni dei dati che potrebbero rappresentare un alto rischio per i loro diritti e libertà. Questo principio enfatizza l’importanza della trasparenza nel trattamento dei dati personali.
La comunicazione dovrebbe chiarire la natura della violazione, fornire un punto di contatto per ulteriori dettagli e suggerire azioni preventive che gli individui possano intraprendere.
Mitigazione e misure correttive
La gestione di un data breach non si limita alla semplice identificazione della violazione. È fondamentale intervenire tempestivamente per contenere i danni e mettere in atto misure correttive, al fine di prevenire future compromissioni.
Appena identificato il data breach, è essenziale isolare la parte compromessa del sistema per fermare ulteriori fughe di informazioni. Questo potrebbe richiedere il temporaneo spegnimento di server specifici o l’interruzione di servizi online.
In seguito, con una chiara comprensione di come è avvenuto il breach, l’azienda può implementare misure specifiche per prevenire violazioni future. Questo potrebbe includere la patch di vulnerabilità del software, l’aggiornamento delle politiche di sicurezza o la formazione del personale.
Dopo la messa in atto delle misure correttive, è cruciale monitorare i sistemi per assicurarsi che le soluzioni adottate siano efficaci e che non vi siano altre vulnerabilità non ancora identificate.
Bisogna sempre notificare il data breach agli interessati?
Non sempre è obbligatorio notificare agli interessati al trattamento (cioè le persone fisiche a cui si riferiscono i dati) in caso di data breach. La decisione di notificare agli interessati dipende dalla natura del data breach e dal potenziale impatto sui diritti e le libertà delle persone coinvolte.
Secondo il GDPR, se la violazione dei dati personali “può comportare un alto rischio per i diritti e le libertà delle persone fisiche”, allora è obbligatorio informare senza indebito ritardo gli interessati della violazione. Si parla di “alto rischio per i diritti e le libertà delle persone fisiche” quando la violazione può causare, ad esempio, discriminazioni, furti d’identità o danni alla reputazione.
Tuttavia, ci sono delle eccezioni. La comunicazione agli interessati non è richiesta se presenti:
- Misure protettive: il titolare del trattamento ha implementato misure di protezione, come la cifratura, che rendono i dati incomprensibili a chi non ha diritto di accesso.
- Misure post-violazione: il titolare ha adottato misure successive che assicurano che l’alto rischio per i diritti e le libertà degli interessati non si realizzi più.
- Sforzo sproporzionato: la comunicazione richiederebbe uno sforzo sproporzionato (ad es. informare singolarmente ogni interessato). In questo caso, può essere effettuata una comunicazione pubblica o una forma simile di avviso.
Bisogna sempre notificare al garante?
Non è sempre necessario notificare al Garante per la Protezione dei Dati Personali ogni data breach. Nell’Art. 33 del GDPR, viene indicato che il titolare del trattamento deve informare il Garante di un data breach entro 72 ore da quando ne viene a conoscenza, ma solo se tale violazione presenta un rischio per i diritti e le libertà delle persone coinvolte.
Se, dopo una valutazione, il titolare ritiene che il data breach non rappresenti questo tipo di rischio, può decidere di non notificare il Garante. Tuttavia, è essenziale che questa decisione e le ragioni alla base siano documentate accuratamente, per dimostrare in futuro la correttezza dell’approccio adottato.
In pratica, data la complessità e l’importanza della protezione dei dati personali e la possibile esposizione a sanzioni, molte aziende optano per un approccio di prudenza, decidendo di notificare al Garante anche in casi borderline.
Quali sono le responsabilità del titolare del trattamento in caso di data breach
Il titolare del trattamento dei dati ha la responsabilità primaria di garantire che il trattamento dei dati personali avvenga nel rispetto del GDPR.
In caso di data breach il titolare del trattamento è il referente principale e ha l’obbligo di notificare l’autorità di controllo e, in determinate circostanze, anche gli interessati.
Ha il compito di garantire che le misure tecniche e organizzative siano adeguate e proporzionate rispetto ai rischi, di valutare l’eventuale impatto delle violazioni, e di attuare misure correttive quando necessario.
Nonostante queste responsabilità chiare, il titolare può decidere di delegare alcune funzioni.
Ad esempio, può avvalersi di un responsabile del trattamento per gestire specifiche operazioni legate ai dati, ma ciò richiede un accordo scritto che stabilisca responsabilità, finalità e istruzioni.
La figura del Data Protection Officer (DPO), se presente, assiste il titolare nelle materie legate al GDPR, pur non sostituendolo nelle responsabilità complessive. Inoltre, il titolare deve vigilare anche sulle eventuali operazioni di sotto-trattamento, assicurando una protezione costante dei dati. Pur potendo delegare determinate funzioni, il titolare non può mai esimersi dalla responsabilità generale di conformità al GDPR, mantenendo sempre un controllo e una supervisione adeguati.
Come prevenire il data breach
Il fenomeno del data breach rappresenta una delle minacce più concrete nel panorama digitale odierno. Prevenire tali violazioni è non solo una responsabilità etica, ma anche una necessità strategica per proteggere la reputazione e la solidità di un’azienda. Ecco alcune misure essenziali per costruire una difesa efficace:
- Formazione del personale
La vulnerabilità più grande di un sistema è spesso di natura umana. Un collaboratore mal informato può, involontariamente, diventare un veicolo di attacchi. Pertanto, una formazione approfondita e continuativa di tutto il personale sull’importanza della protezione dei dati e sulle migliori pratiche è cruciale. Il GDPR, nel suo articolo 29, evidenzia proprio l’importanza di istruire adeguatamente chi ha accesso ai dati personali.
- Rafforzare la sicurezza informatica
Ogni azienda dovrebbe investire in soluzioni tecnologiche avanzate, come sistemi di crittografia dei dati, firewall, software antimalware e piani di disaster recovery. L’adozione di pratiche come l’autenticazione a due fattori può fare la differenza tra un sistema sicuro e uno vulnerabile.
- Audit e test regolari
Esaminare e testare periodicamente le infrastrutture IT aiuta a identificare potenziali punti deboli e a correggerli prima che diventino un problema. La collaborazione con esperti esterni per la conduzione di audit può offrire una visione obiettiva e dettagliata della sicurezza aziendale.
- Promuovere una cultura della sicurezza
Oltre alla formazione, è essenziale instaurare una cultura aziendale che valorizzi la sicurezza dei dati. Ciò significa rendere ogni membro del team consapevole dell’importanza dei dati che gestisce e dei rischi associati alla loro violazione.
- Piano di Risposta alle Emergenze
Anche con le migliori precauzioni, il rischio zero non esiste. Per questo motivo, avere un piano di risposta alle emergenze ben strutturato consente di agire prontamente in caso di violazioni, minimizzando l’impatto e ripristinando la normalità operativa nel minor tempo possibile.
- Conformità Normativa e Aggiornamenti Continui
Il panorama legislativo, soprattutto in materia di protezione dei dati, è in continua evoluzione. Mantenersi aggiornati e garantire che l’azienda sia sempre in conformità con le ultime disposizioni normative è fondamentale.
Prevenire un data breach non è solo una questione di tecnologia, ma anche di cultura aziendale, formazione e consapevolezza. Affrontare proattivamente la sicurezza dei dati significa proteggere il proprio business, la reputazione e, soprattutto, la fiducia dei propri clienti e partner.
Esempio di procedura in caso di violazione dei dati
Omega Srl è una piccola impresa specializzata nella vendita online di prodotti elettronici. Un lunedì mattina, il team IT di Omega Srl scopre un accesso non autorizzato ai loro server, con possibile furto di dati.
- Identificazione della violazione: il sistema di allarme interno segnala un accesso sospetto. Il team IT verifica immediatamente e identifica che una parte del database contenente dati dei clienti è stata esposta.
- Valutazione Iniziale: i team IT, in collaborazione con il DPO (Data Protection Officer), valutano l’entità della violazione: quali dati sono stati compromessi, in che quantità e quale potrebbe essere l’impatto potenziale.
- Comunicazione al titolare del trattamento: il DPO informa immediatamente il titolare del trattamento e la dirigenza dell’azienda sulla violazione.
- Isolamento della minaccia: il team IT isola la parte del sistema compromessa, evitando ulteriori violazioni e iniziando il processo di ripristino.
- Valutazione dettagliata: si identifica che dati personali, indirizzi email, storico degli ordini e password cifrate di 5.000 clienti sono stati esposti. Non risultano però esposti dati sensibili o dati delle carte di credito.
- Notifica violazione dati personali al Garante: dato che i dati compromessi potrebbero comportare un rischio per i diritti e le libertà dei clienti, entro 72 ore dalla scoperta, il DPO invia una notifica al Garante per la Protezione dei Dati Personali, descrivendo l’accaduto, le possibili conseguenze e le misure adottate.
- Comunicazione data breach agli interessati: anche se le password erano cifrate, per precauzione, l’azienda decide di inviare una comunicazione a tutti i clienti coinvolti, suggerendo di cambiare la password e di prestare attenzione a eventuali email sospette.
- Misure correttive: l’azienda implementa ulteriori misure di sicurezza, rinforza le protezioni dei server e avvia una formazione interna per sensibilizzare il personale sui rischi legati alla sicurezza dei dati.
- Revisione e monitoraggio: nei mesi successivi, il DPO e il team IT monitorano costantemente il sistema alla ricerca di eventuali nuove vulnerabilità, e si effettua una revisione complessiva delle politiche di sicurezza aziendale.
Questo esempio rappresenta una procedura standard in caso di data breach, ma ogni violazione ha le sue specificità e potrebbe richiedere azioni diverse o aggiuntive a seconda del contesto.
Legal for Digital: un partner nella prevenzione e gestione del data Breach
La crescente incidenza dei data breach ha reso fondamentale la necessità di dotarsi di strumenti e competenze adeguate sia nella prevenzione che nella gestione di tali emergenze. Legal for Digital, attraverso la sua offerta specializzata, si posiziona come alleato chiave in questo panorama. Vediamo come:
Prevenzione del data breach
Come anticipato la formazione di coloro che trattano i dati è fondamentale per prevenire la violazione accidentale dei dati
Corso di Formazione:
Corso GDPR
22 lezioni di teoria e pratica
Cosa imparerai?
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Consulenza preventiva
Legal for Digital, grazie al suo team di esperti, offre servizi di consulenza mirati a:
- Valutare lo stato attuale delle misure di sicurezza in atto nell’azienda.
- Identificare potenziali vulnerabilità e suggerire soluzioni correttive.
- Assicurarsi che l’azienda rispetti tutte le normative vigenti in materia di protezione dei dati.
- Elaborare strategie preventive, dalla redazione di protocolli interni alla selezione delle tecnologie più adatte.
Intervento in caso di data breach
Nel momento in cui si verifica una violazione, il tempo è essenziale. Legal for Digital interviene con:
- Assistenza immediata per comprendere la natura e la portata della violazione.
- Consigli sulla comunicazione e notifica della violazione secondo le normative GDPR.
- Supporto nella gestione delle relazioni con gli enti di controllo e con le parti interessate.
- Strategie per la mitigazione del danno e per il ripristino della sicurezza.
Legal for Digital rappresenta un punto di riferimento sia per le aziende che desiderano rafforzare le loro difese contro le minacce digitali, sia per quelle che si trovano ad affrontare una situazione di emergenza derivante da un data breach. Attraverso formazione e consulenza, Legal for Digital offre soluzioni concrete, personalizzate e tempestive.