Data Breach: ecco come prevenirli e segnalarli

Con il termine data breach, mutuato dal linguaggio giuridico anglosassone, si intende la trasmissione, la copia, il furto o l’utilizzo non autorizzato di dati sensibili, protetti o riservati da parte di un soggetto non autorizzato. Situazioni del genere possono verificarsi sia in maniera volontaria che involontaria, e sono la conseguenza diretta di un’applicazione di misure di sicurezza insufficienti.

La maggiore mobilità delle informazioni, frutto di una progressiva digitalizzazione, ha aumentato ulteriormente il rischio di divulgazioni non autorizzate. La perdita accidentale o il furto delle informazioni adesso si possono verificare sia tramite un intervento di tipo informatico (tramite la violazione di una o più password, oppure di sistemi di sicurezza) sia attraverso il furto di un supporto fisico (una penna usb o un notebook).

I data breach sono un’eventualità da considerare in diversi ambiti, ed i dati sottratti possono essere utilizzati per fini diversi. Dal classico furto di codici per l’accesso a conti in banca e carte di credito, si può passare all’appropriazione di dati sulla salute personale e sulle malattie, oppure all’acquisizione di segreti commerciali, brevetti o progetti (a fine di concorrere in modo sleale), arrivando infine al più classico furto di identità. Il metodo più sicuro per non incappare in incidenti di questo tipo è cercare di prevederli e organizzare un’infrastruttura a monte, che sia quanto più possibile a prova di manomissione.

Come prevedibile impedire al 100% le chances di un data breach non è possibile, ma esistono diverse misure preventive da adottare per minimizzare i rischi.

In primo luogo è fondamentale effettuare un’analisi e una valutazione dei rischi, definendo tutte le misure di tipo tecnologico e organizzativo adottate per la protezione dei dati. Esistono delle linee guida a disposizione dei titolari, come la ISO 27040, che contengono informazioni tecniche dettagliate sulle modalità di gestione efficace di tutti gli aspetti legati alla sicurezza dei dati. Inoltre, questa normativa fa anche riferimento al suo interno ad altri standard internazionali, fornendo a chiunque la consulti una panoramica davvero completa sull’argomento.

A livello strettamente operativo invece, esistono una serie di contromisure applicabili fin da subito:
- utilizzare un sistema di crittografia dei dati di ultima generazione
- permettere l’accesso ai dati solo con autenticazione a due (o più) fattori
- non trascurare la componente di sicurezza fisica, per la salvaguardia dei dati
- applicare il principio informatico del minimo privilegio per quanto riguarda l’accesso ai dati
- fare in modo che l’utente nel sistema non sia l’anello più debole

Cosa fare se, a prescindere dalle misure adottate, si verifica un data breach?

Considerato il valore delle informazioni riservate in qualsiasi ambito, in caso di violazione è legalmente obbligatorio notificare il Garante per la protezione dei dati personali. In base all’articolo 33 del GDPR infatti, in caso di violazione dei dati il responsabile del trattamento, se designato in precedenza, è tenuto ad avvertire il titolare dell'avvenuta violazione dei dati. Questo, una volta informato, dovrà inviare una notifica all’autorità di controllo.

La notifica va effettuata via PEC all’indirizzo mail ufficiale protocollo@pec.gpdp.it, e l'oggetto del messaggio dovrà contenere al suo interno la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI”. Il garante dovrà essere notificato entro 72 ore dalla violazione, e in caso di ritardo questa dovrà essere corredata da una giustificazione in merito; potendo modificare la notifica anche in un secondo momento, è comunque consigliabile inviarla (anche incompleta) entro l’intervallo di tempo stabilito.

La notifica, stando alle indicazioni dell’articolo 33 del GDPR, dovrà contenere al suo interno una serie di informazioni precise:
- la natura della violazione dei dati personali;
- il numero approssimativo di interessati in questione;
- il nome e i dati di contatto del responsabile della protezione dei dati;
- le probabili conseguenze della violazione dei dati (il loro ipotetico utilizzo da parte di coloro che li hanno sottratti);
- le misure adottate (o proposte da adottare) per porre rimedio alla violazione.

La notifica di violazione dovrà anche essere inviata anche a coloro i quali i dati sono stati sottratti, ma le modalità di avviso dipendono dalla gravità del caso: in caso di rischio elevato per i diritti e le libertà delle persone fisiche l’avviso dev’essere immediato, ma nell’eventualità in cui la situazione non si riveli così grave è possibile notificare in un secondo momento e senza ingiustificato ritardo, dando precedenza all’evitare danni reputazionali.

Infine, in caso di mancato rispetto delle procedure, è prevista una sanzione amministrativa fino ad un importo pari al 2% del fatturato della società oppure fino al raggiungimento del tetto dei 10 milioni di euro.