Data Breach

Cosa fare in caso di Data Breach

Il Data Breach può essere inteso come azione di divulgazione non autorizzata di dati riservati. In caso di violazione dei dati trattati, le procedure da adottare dipendono dal tipo di rischio.

Il GDPR disciplina il Data Breach, ovvero le procedure che un’organizzazione pubblica o privata deve adottare in caso di incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato.

Nella maggior parte dei casi il Data Breach è inteso come azione di divulgazione non autorizzata di dati riservati.

Rilevazione e analisi dei rischi del Data Breach

  1. Rilevare e accertarsi della violazione
  2. Avviare l’azione correttiva per gestire tecnicamente il Data Breach
  3. Analizzare la violazione e valutarne i rischi connessi

Data Breach: assenza di rischi

In caso non ci fosse alcun rischio connesso all’attacco verso i dati personali immagazzinati, è necessario registrare la violazione e successivamente conservare il registro. La notifica al Garante della Privacy non è obbligatoria ed è comunque necessario comprovare l’assenza dei rischi.

Data Breach: presenza di rischi

In presenza di rischi per gli interessati è necessaria la notifica entro 72 ore al Garante della Privacy, il quale rilascia un apposito modulo (Modello di segnalazione Data Breach).

  1. Raccogliere tutte le informazioni inerenti al Data Breach per la notifica al Garante della Privacy
  2. Inviare la notifica al Garante della Privacy
  3. Registrare la violazione
  4. Conservare il registro delle violazioni

I principali rischi connessi a un Data Breach

  • danni fisici, materiali o immateriali alle persone fisiche
  • perdita del controllo dei dati personali
  • limitazione dei diritti, discriminazione
  • furto di identità
  • perdite finanziarie, danno economico o sociale
  • decifratura non autorizzata della pseudonimizzazione
  • pregiudizio alla reputazione
  • perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari)

Data Breach: presenza di un elevato rischio

  1. Raccogliere tutte le informazioni inerenti al Data Breach per la notifica al Garante della Privacy e ai diretti interessati del trattamento
  2. Inviare la notifica al Garante della Privacy e agli interessati
  3. Gestione dei riscontri da parte degli interessati
  4. Registrare la violazione
  5. Conservare il registro delle violazioni

Per un rischio elevato si intende per esempio una violazione che interessa un un rilevante quantitativo di dati personali e/o di soggetti interessati, piuttosto che un Data Breach che impatta su soggetti vulnerabili per le loro condizioni o categorie particolari di dati personali.

La segnalazione deve essere effettuata dal Titolare del Trattamento.

Come è possibile tutelare i propri dati personali in caso di violazione? Il GDPR fornisce diverse strade, dal reclamo all’inoltro di una segnalazione e, in alcuni casi, la procedura ha un costo.

Data Breach: gli adempimenti previsti dal Garante Privacy

Violazioni di dati personali - Gli adempimenti previsti dal Garante della Privacy
Violazioni di dati personali – Gli adempimenti previsti dal Garante della Privacy

Società telefoniche e Internet Provider

Art. 32-bis del Codice in materia di protezione dei dati personali (d. lgs. 196/2003), Regolamento UE 611/13, Provvedimento del Garante n. 161 del 4 aprile 2013 [doc. web n. 2388260]

L’obbligo di comunicazione al Garante (mediante un apposito modello di comunicazione) riguarda i fornitori di servizi telefonici e di accesso a Internet (e non, ad esempio, i siti internet che diffondono contenuti, i motori di ricerca, gli internet point, le reti aziendali).

In caso di violazione dei dati personali, società di tlc e Isp devono:

  1. entro 24 ore dalla scoperta dell’evento, fornire al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione
  2. entro 3 giorni dalla scoperta, informare anche ciascun utente coinvolto, comunicando gli elementi previsti dal Regolamento 611/2013 e dal provvedimento del Garante n. 161 del 4 aprile 2013.

La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati.

Per consentire l’attività di accertamento del Garante, società telefoniche e provider devono tenere un inventario costantemente aggiornato delle violazioni subite.

SANZIONI AMMINISTRATIVE PREVISTE (art. 162-ter del Codice in materia di protezione dei dati personali)

  • per mancata o ritardata comunicazione al Garante: da 25mila a 150mila euro;
  • per omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata;
  • per mancata tenuta dell’inventario delle violazioni aggiornato: da 20mila a 120mila euro.

Biometria

Provvedimento n. 513 del 12 novembre 2014 [doc. web n. 3556992]

Entro 24 ore dalla conoscenza del fatto, i titolari del trattamento (aziende, amministrazioni pubbliche, ecc.) comunicano al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi.

Dossier Sanitario Elettronico

Provvedimento n. 331 del 4 giugno 2015 [doc. web n. 4084632]

Entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario.

Amministrazioni pubbliche

Provvedimento n. 392 del 2 luglio 2015 [doc. web n. 4129029]

Entro 48 ore dalla conoscenza del fatto, le amministrazioni pubbliche sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati.

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi
Questo articolo parla di:
Cosa fare in caso di Data Breach
Titolo
Cosa fare in caso di Data Breach
Descrizione
Il GDPR disciplina il Data Breach, ovvero le procedure che un'organizzazione pubblica o privata deve adottare in caso di incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato.
Autore
Publisher
InfoGDPR
Logo Publisher

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *