logo-unlock-security

Come segnalare un Data Breach

Come segnalare un Data Breach

In un mondo sempre più connesso, la protezione dei dati ha sempre più importanza e fa il possibile per evitare incidenti come i Data Breach. Cionondimeno, i Data Breach possono ancora verificarsi e quando succede, è bene sapere cosa dice la normativa sul processo di segnalazione per agire in maniera tempestiva.

Prima di tutto: cos’è un Data Breach?

Il Garante della Privacy definisce un Data Breach come “una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Questo può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.”

Alcuni esempi: 

  • L’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • Il furto o la perdita di dispositivi informatici contenenti dati personali;
  • La deliberata alterazione di dati personali;
  • L’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware;
  • La perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • La divulgazione non autorizzata dei dati personali.

Il WP29 (Working Party article 29 del GDPR) ha provveduto a categorizzare le violazioni in base a tre principi ben noti della sicurezza delle informazioni:

  1. Violazione della riservatezza: quando si verifica una divulgazione o un accesso non autorizzato o accidentale ai dati personali.
  2. Violazione dell’integrità: quando si verifica una modifica non autorizzata o accidentale dei dati personali.
  3. Violazione della disponibilità: quando si verifica una perdita di accesso o una distruzione accidentale o non autorizzata dei dati personali.

Mentre le prime due si ritengono piuttosto chiare, potrebbe essere meno ovvio se c’è stata una violazione della disponibilità. Gli esempi di perdita di disponibilità includono casi in cui i dati sono stati cancellati accidentalmente o da una persona non autorizzata, o, nel caso di dati criptati in modo sicuro, la chiave di decrittazione è stata persa.

Se il responsabile del trattamento non può ripristinare l’accesso ai dati, ad esempio da un backup, allora questo è considerato come una perdita permanente di disponibilità.

È importante inoltre notare che, a seconda delle circostanze, una violazione può riguardare la riservatezza, l’integrità e la disponibilità dei dati personali contemporaneamente, così come qualsiasi combinazione di queste.

Una perdita di disponibilità può verificarsi anche quando c’è stata una significativa interruzione del servizio normale di un’organizzazione, ad esempio, a causa di un’interruzione di corrente o di un attacco DoS (Denial of Service), rendendo i dati personali non disponibili.

Se la perdita dei dati è solo temporanea bisogna segnalarla?

L’articolo 32 del GDPR, “sicurezza del trattamento”, spiega che quando si implementano misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, si dovrebbe considerare, tra le altre cose, “la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza continue dei sistemi e dei servizi di trattamento”, e “la capacità di ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di un incidente fisico o tecnico”.

Riassumendo: no se la riservatezza e l’integrità non sono state compromesse e se la disponibilità è stata ripristinata in modo tempestivo.

Come si segnala un Data Breach?

Passo 1: Identificare il Data Breach

Il primo passo è identificare che si è verificato un data breach. Questo può includere l’accesso non autorizzato ai dati, la perdita di dati o qualsiasi altra forma di violazione della sicurezza dei dati, come specificato in precedenza.

Passo 2: Valutare l’impatto

Dopo aver identificato un data breach, è importante valutare l’impatto. Questo deve includere le seguenti informazioni: 

  1. Descrizione del data breach
  2. Numero di persone interessate
  3. Natura dei dati compromessi
  4. Misure adottate per mitigare il data breach
  5. Misure adottate per informare gli individui interessati

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.), a prescindere dalla notifica al Garante, dovrebbe documentare tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Una documentazione ordinata consente alle Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Passo 3: Notificare l’Autorità di Controllo

Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), le aziende sono tenute a notificare l’Autorità di Controllo competente entro 72 ore dalla scoperta del data breach, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. La notifica deve includere tutti i dettagli identificati nel Passo 2.

Il link fornisce istruzioni per l’utilizzo della procedura telematica per la notifica delle violazioni dei dati personali. Questa procedura è stata adottata con il provvedimento n. 209 del 27 maggio 2021, per la notifica delle violazioni dei dati personali, effettuate ai sensi dell’art. 33 del Regolamento (UE) 2016/679 o dell’art. 26 del d.lgs. 18 maggio 2018 n. 511.

Dove? Sul portale dei servizi online dell’Autorità, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

Notifica di Data Breach sul sito del Garante della Privacy (GPDP)

La richiesta può essere inoltrata dai soggetti muniti di credenziali SPID - livello 2 o in possesso di una nuova carta di identità elettronica (c.d. CIE 3.0), previa autenticazione informatica, potranno accedere al sistema e procedere ad effettuare la notifica di una violazione.

La procedura telematica costituisce l’unica ed ordinaria modalità mediante la quale l’Autorità accoglierà le notifiche delle violazioni dei dati personali.

È interessante notare la presenza di uno strumento di Autovalutazione, che serve a individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.

Posso delegare a terzi la segnalazione?

Sì. La procedura consente anche ad una persona fisica - identificata - di effettuare la notifica in nome e per conto del titolare del trattamento previa assunzione della responsabilità, ai sensi dell’art. 168 del Codice o dell’art. 44 del Decreto, del contenuto della stessa.

Posso fare una segnalazione senza accedere con SPID o carta d'identità elettronica?

Sì. Anche un utente non autenticato può segnalare un Data Breach, attraverso la compilazione del modulo on-line. In questo caso però la procedura risulta molto più macchinosa e deve essere completata a seguito del ricevimento di una comunicazione via e-mail.

Passo 4: Informare gli individui interessati

Se esiste la probabilità che il data breach comporti un alto rischio per i diritti e le libertà delle persone fisiche, le aziende sono tenute a informare gli individui interessati senza indebito ritardo e utilizzando i canali più idonei (a meno che abbiano già preso misure tali da ridurne l’impatto).

Nello specifico, agli individui vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.

A titolo esemplificativo, sono inclusi: la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

La comunicazione dovrebbe includere informazioni sul data breach e consigli su come proteggere se stessi.

Passo 5: Adottare misure correttive

Infine, le aziende dovrebbero adottare misure correttive per prevenire futuri data breach. Questo può includere l’aggiornamento delle politiche e delle procedure di sicurezza, la formazione del personale e l’implementazione di nuove tecnologie di sicurezza.

Conclusioni

La segnalazione di un data breach è un processo importante che tutte le aziende dovrebbero comprendere. Seguire questi passaggi può aiutare le aziende a gestire efficacemente un data breach e a minimizzare l’impatto sulla privacy degli individui.

La prevenzione è sempre la migliore cura quando si tratta di sicurezza dei dati. Assicurati che la tua azienda stia facendo tutto il possibile per proteggere i dati dei tuoi clienti.

Daria Solovieva
Daria Solovieva
Digital Marketing Manager
unlock-security.it

I'm a digital marketing expert, passionate about everything that concerns the digital environment. I believe there are many different aspects of digital to explore, so you'll never run out of things to learn and do.