GDPR E DATA BREACH, COME ADEGUARSI

Affronteremo il Data Breach in ottica compliance GDPR, approfondendo il tema della sicurezza aziendale in materia di Data Breach, analizzando la sua definizione e gli strumenti da adottare per evitarlo ed essere compliant.

 

E nello specifico:

  1. Data breach e GDPR, introduzione
  2. Data breach, di cosa si tratta;
  3. Data breach, come comportarsi;
  4. Data breach, misure di protezione;

1. DATA BREACH E GDPR, INTRODUZIONE

I temi sicurezza e Data Breach trovano la loro trattazione nel General Data Protection Regulation (GDPR), regolamento Europeo 2016/679, che ha ad oggetto le norme relative alla protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento e la protezione dei dati personali e che impone, in ottica di adeguamento, nuovi obblighi ed adempimenti alle imprese.

Il 25 maggio 2018 la normativa è ufficialmente entrata in vigore con la finalità di revisionare i processi gestionali, migliorare la security dei sistemi e la privacy del dato.

Con l’introduzione del GDPR le aziende hanno dovuto attuare un complesso processo di adeguamento con particolare focus sui seguenti punti:

  • istituzione di un registro dei trattamenti;
  • verifica di informative e consensi;
  • abilitazione di processi di risk-assessment;
  • verificare che le misure di sicurezza messe in atto fossero adeguate;

Il Data Breach sarà l’elemento principale di questa nostra analisi.

Il Regolamento UE, basato sul principio cardine dell’accountability, ovvero della responsabilizzazione, coinvolge aspetti quali affidabilità, responsabilità e competenza, attenendosi al risk based approach che si traduce sostanzialmente nella valutazione dell’impatto e della probabilità del verificarsi di possibili minacce per i diversi trattamenti dei dati personali da parte dell’azienda.

Il GDPR però assume dunque il ruolo di regolamento e mezzo per raggiungere la compliance aziendale.

2. DATA BREACH, DI COSA SI TRATTA

Una definizione efficiente di Data Breach viene delineata dall’art.4 del GDPR, il quale indica la definizione di violazione dei dati personali come “la violazione di sicurezza che comporta accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

La violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Facciamo alcuni esempi pratici di Data Breach:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

3. DATA BREACH, COME COMPORTARSI

Anche relativamente al Data Breach sono previste delle figure chiave per la sua prevenzione o, nella peggiore delle ipotesi, per la sua gestione.

Infatti, il passaggio dalla precedente regolamentazione del codice della privacy al GDPR ha introdotto diversi cambiamenti, tra i quali una maggiore responsabilizzazione e importanza del ruolo del Titolare del trattamento.

Il Titolare del trattamento, responsabile dell’attuazione delle misure di sicurezza per i dati personali, deve infatti valutare oggettivamente l’entità dei rischi per i diritti dell’interessato.

Il Titolare del trattamento, con l’odierno GDPR, è tenuto a effettuare quindi una risk based analisi e attuare la più conveniente azione protettiva.

Nel caso in cui si verifichi una delle situazioni precedente elencate al punto 2, ossia un Data Breach, il responsabile del trattamento ha l’obbligo di informare tempestivamente il Titolare in modo che possa attivarsi quanto prima.

Il Titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) che subisce un Data Breach è tenuto a notificare la violazione al Garante per la protezione dei dati personali entro le 72 ore successive alla violazione, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Nel caso in cui si verifichi un ritardo nella notifica al Garante sarà necessario definirne le motivazioni.

Inoltre, se il Data Breach, ovvero un’altra violazione, comporta un rischio elevato per i diritti delle persone, il Titolare del trattamento deve darne comunicazione agli interessati utilizzando i canali più idonei e, indipendentemente dalla notifica al Garante.

Il Titolare è tenuto a documentare tutte le violazioni dei dati personali predisponendo per esempio un registro.

Tale documentazione è utile allo scopo di adottare le migliori contromisure in funzione delle vulnerabilità emerse e consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

3. DATA BREACH, MISURE DI PROTEZIONE

Come specificato nell’introduzione al Data Breach, il GDPR ha introdotto il concetto di prevenzione richiedendo alle aziende di identificare e mettere in atto le misure, tecniche ed organizzative più idonee per prevenire le violazioni dei dati trattati e mitigarne al massimo il rischio.

Per affrontare al meglio un Data Breach è opportuno predisporre dunque ruoli e procedure all’interno dell’organizzazione aziendale.

Il regolamento non fornisce nessuna prescrizione specifica circa le misure preventive da adottare ma ne segnala alcune in maniera tale che le aziende possano pianificare una buona strategia.

Risulta fondamentale per le imprese effettuare una classificazione dei rischi legati ad un possibile Data Breach e adottare un sistema di sicurezza adeguato che sia in grado di fornire una privacy stabile, cifratura dei dati, integrità, resistenza e la possibilità di un veloce ripristino dei sistemi.

Inoltre è utile attuare test specifici per la verifica dell’effettiva efficacia delle azioni preventive di sicurezza messe in atto.