Data Breach: come prevenire la violazione dei dati personali
|Uno degli aspetti meno chiari all’interno del regolamento GDPR è la gestione del data breach, la violazione dei dati personali. Le norme sono abbastanza precise in materia di individuazione dei responsabili e determinazione dell’infrazione, tuttavia non è facile capire quando inviare una segnalazione e come prevenire tali eventi. Ecco alcuni suggerimenti utili in merito alla prevenzione del data breach.
Cos’è il data breach?
Il fenomeno conosciuto con il termine di data breach, ormai molto noto soprattutto da aziende di medie e grandi dimensioni, è una violazione dei dati personali. Secondo la normativa europea GDPR, questi eventi devono essere segnalati alle autorità di controllo, qualora si manifesti una situazione di rischio per il diretto interessato (cliente, fornitore, collaboratore).
Allo stesso tempo non vengono fornite indicazioni in merito alla prevenzione, quindi non è ben chiaro ancora oggi cosa fare per gestire situazioni del genere. La prassi più comune è la notifica al Garante della Privacy, tuttavia come vedremo non sempre tale scelta si rivela l’opzione migliore. Soprattutto in casi non rilevanti, dunque di lieve entità , è preferibile intervenire per evitare tali accadimenti implementando dei protocolli di sicurezza adeguati.
Come gestire il data breach?
Il regolamento GDPR contiene una serie di prescrizioni e obblighi per i responsabili del trattamento dei dati, tuttavia viene lasciata libertà d’azione sulle modalità con le quali attivare sistemi di protezione, gestione e controllo di ogni imprevisto. In poche parole non basta segnalare l’evento, ma è indispensabile adoperarsi al fine di evitarne l’avvenimento e scongiurare ulteriori data breach.
Sul tema della violazione dei dati personali è possibile trovare approfondimenti utili nel blog di privacylab.it, dove viene trattato l’argomento in maniera piuttosto esaustiva. L’azienda si occupa infatti dell’applicazione delle norme del GPDR all’interno delle aziende, fornendo servizi di consulenza altamente specializzati per l’amministrazione delle informazioni digitali e la tutela della privacy di dipendenti e collaboratori.
Innanzitutto è fondamentale adottare un sistema di individuazione dei rischi, per essere in grado di classificare ogni infrazione in modo corretto. Ciò consente non solo di capire l’entità del danno, ma anche di intervenire in maniera appropriata in base al livello di rischio riscontrato. Spesso il problema principale delle aziende è la capacità di identificare un data breach, imparando a distinguere quali violazioni mettono realmente in pericolo la privacy e la sicurezza dei clienti.
In particolare è indispensabile poter contare su un eccellente sistema di monitoraggio, affinché sia possibile rilevare immediatamente un data breach e classificarlo. Dopodiché deve essere semplice e veloce riuscire a inquadrarne il grado di rischio, per capire subito come intervenire. La notifica alle autorità , infatti, non mette al riparo da azioni sanzionatorie, perciò è essenziale un efficiente programma di identificazione e gestione delle violazioni.
Quali sono i data breach e quando segnalarli?
Per comprendere meglio come funziona il data breach è utile vedere alcuni esempi, in questo modo si riesce a capire meglio cosa fare per la prevenzione e la segnalazione alle autorità di controllo. Una violazione può essere di vario tipo, un accesso non autorizzato al sistema, l’acquisizione di dati da parte di persone il cui login non è consentito, attacchi hacker esterni, la modifica dei dati o la cancellazione delle informazioni custodite nei propri database.
Prima di tutto ogni evento deve essere documentato, un’attività imprescindibile che aiuta in tutti i passaggi successivi. Dopodiché è fondamentale essere in grado di capire l’entità dell’accadimento, classificare il rischio in modo adeguato e stabilire se è necessario effettuare la notifica del data breach. Questa fase è senza dubbio la più complessa, poiché non sempre l’evento richiede l’invio della segnalazione.
Alcune violazioni possono essere semplicemente registrate senza la comunicazione alle autorità , ad esempio quando il fatto non mette a rischio la privacy e la sicurezza del diretto interessato, se i dati sono pochi, non rilevanti o incompleti, oppure se la sottrazione di dispositivi hardware non comporta pericoli per i titolari dei dati in essi contenuti. Le ipotesi sono davvero numerose, quindi è importante capire come giudicare ogni situazione in base alle circostanze.
Quando notificare un data breach?
Secondo l’articolo n.33 del GDPR, i data breach vanno notificati al Garante qualora mettano a rischio la sicurezza del titolare di tali informazioni. La segnalazione deve avvenire entro 72 ore dall’evento, fornendo tutte le indicazioni in merito nel modo quanto più completo possibile. Qualora non fosse possibile è possibile integrare le informazioni in un secondo momento, ovviamente documentando tutto in maniera esaustiva.
Inoltre è indispensabile integrare in azienda procedimenti di individuazione delle responsabilità (accountability), per evitare qualsiasi problema in caso di verifica da parte delle autorità di controllo. Il Garante, infatti, potrebbe richiedere quali sono stati i criteri adottati per la rilevazione della violazione, la sua gestione e come si è arrivati alla decisione di notificare o meno l’evento. In questi casi è necessario utilizzare protocolli e sistemi che aiutano nell’amministrazione dei data breach.