Data Protection e GDPR: come gestire un Data Breach

Data Protection e GDPR: come gestire un Data Breach

Agli appassionati di calcio sarà familiare il concetto “La prima difesa è l’attacco”.
Un assunto che manifesta l’importanza di prevenire eventuali rischi attraverso strategie non attendiste.

I fan più sfegatati sono consapevoli anche che la teoria diventa pratica attraverso il pressing.
Un’arma a doppio taglio in caso di inefficacia che rischia di mettere ancor più in pericolo la difesa.

Non c’è bisogno del pessimismo di Murphy per ricordare che le cose possono andare storte.
Per fortuna nell’ambito della Data Protection prevenire i pericoli in maniera attiva non comporta controindicazioni come nel mondo del calcio.

Il pressing può essere superato, specie se l’avversario Cyber Crime è allenato e pericoloso, quindi è importante organizzare un piano B in caso di violazione che nel linguaggio della Data Protection si traduce con l’effettiva gestione e contenimento della violazione avvenuta.

Data Breach: Significato, conseguenze e pericoli

Si parla di Data Breach per definire la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. 

Esistono almeno tre differenti tipologie di violazione dei dati personali:

  • Perdita di riservatezza avviene attraverso la rivelazione o l’accesso non autorizzato a dati personali;
  • Perdita di disponibilità significa la distruzione intenzionale o accidentale dei dati personali, oppure la perdita d’accesso agli stessi;
  • Perdita di integrità è l’alterazione intenzionale o accidentale dei dati personali.

Occorre inoltre entrare nel dettaglio delle differenti conseguenze:

  • Per distruzione si intende l’assenza di dati in qualsiasi forma utile al titolare del trattamento.
  • Nell’alterazione i dati vengono modificati, corrotti o parzialmente distrutti;
  • La perdita sta a significare che i dati potrebbero ancora esistere, ma il titolare non ha più possesso, controllo e/o accesso;
  • La divulgazione e/o l’accesso non autorizzato rappresenta la situazione in cui i dati vengono rivelati e trasmessi a destinatari non autorizzati.

Le conseguenze di una scorretta gestione della violazione dei dati comporta potenziali conseguenze negative agli interessati che possono essere di tipo fisico, materiale, ma anche immateriale:

  • Perdita di controllo sui propri dati personali
  • Limitazione dei diritti degli interessati
  • Discriminazione
  • Furto d'identità
  • Perdita finanziaria
  • Decifratura non autorizzata della pseudonimizzazione
  • Perdita di riservatezza dei dati personali protetti da segreto professionale
  • Danno alla reputazione
  • Qualsiasi altro significativo svantaggio economico o sociale per l’interessato

Come gestire il Data Breach secondo il GDPR

Il titolare deve essere in grado di individuare e reagire tempestivamente alla violazione di dati personali.

Il GDPR è chiaro riguardo le misure tecniche e organizzative per garantire la sicurezza dei dati personali: il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure adeguate al rischio.

Ritardi nell’individuazione dovute a carenze, inadeguatezze e omessi controlli potrebbero comportare sanzioni da parte del Garante.

Cosa cambia con l’avvento del General Data Protection Regulation

A differenza del precedente decreto legislativo, nel GDPR non sono previste misure minime da adottare valide per ogni soggetto e situazione.

Il GDPR esplicita solo alcune delle possibili misure di sicurezza.

Il nuovo regolamento in termini di gestione e protezione di dati personali e applicazioni di misure di sicurezza parla solo di “adeguatezza” al rischio, rimandando il giudizio alla valutazione caso per caso.

Per individuare l’adeguatezza delle misure, occorre preventivamente valutare i rischi in base a:

  • Finalità perseguite dal trattamento dei dati;
  • Natura e tipologia dei dati trattati;
  • I diritti e le libertà messe in gioco dal trattamento dei dati.

Il GDPR tuttavia stila delle linee guida in carico al titolare e al responsabile del trattamento dei dati da seguire per elevare l’adeguatezza necessaria delle misure tecniche e organizzative:

  • Scoprire tempestivamente il Data Breach;
  • Affrontare e/o contenere la violazione in maniera corretta;
  • Valutare i rischi;
  • Segnalare tempestivamente alle autorità.

Come gestire il Data Breach seguendo le linee guida del WP29

Le linee guida del WP29 Guidelines on Personal data breach notification under Regulation 2016/679” adottate dall'ex gruppo di lavoro dei garanti europei vengono in soccorso al GDPR e aiutano a fare luce su numerosi aspetti poco chiari.

Seguendo queste istruzioni il titolare pianifica, agevola e determina i referenti operativi interni per la gestione della violazione.

Come individuare il Data Breach

Per individuare il Data Breach il titolare può utilizzare misure di sicurezza tecniche come l’analisi del flusso dei dati e dei log in modo da riconoscere la violazione e impostare gli alerts.

Utilizzare questo metodo significa agire in maniera tempestiva, consentendo la gestione della segnalazione al livello appropriato.

Come gestire e risolvere la violazione

Dopo aver individuato il Data Breach occorre segnalarlo al corretto livello di management in modo che possa essere gestito.

Queste misure di segnalazione potrebbero essere descritte negli incident response plan o nelle policy di governance interna.

Regolarizzare la procedura

Il Titolare dovrebbe regolare contrattualmente la procedura di Data Breach con i Responsabili del trattamento.

I responsabili del trattamento hanno in ogni caso l'obbligo di notificare tempestivamente (senza ingiustificato ritardo) al Titolare del trattamento l’avvenuta violazione.

Come contenere la violazione dei dati personali

Esistono differenti azioni capaci di contenere il rischio, a seconda della tipologia di violazione:

  • Ripristino delle condizioni di sicurezza dei dati: attuabile attraverso il ripristino della disponibilità dei dati, il ripristino dei dati attraverso backup, escludere l’attaccante dall’accesso ai sistemi;
  • Comunicazione tempestiva della violazione ai soggetti coinvolti: azione volta a permettere agli interessati di interrompere le attività del malintenzionato come il cambio di password, bloccando un bonifico, 

Denuncia della violazione alle autorità e ai soggetti: così facendo si evitano ulteriori conseguenze come l’apertura di una mail e si blocca la violazione.

Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...
 SCOPRI TUTTE LE NEWS SUL GDPR

Leggi il nostro blog

Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.

Grazie per esserti iscritto alla nostra newsletter.
Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.