Gestione della violazione di dati personali

Come sappiamo, il GDPR introduce specifici obblighi, per tutti i Titolari del Trattamento di Dati Personali, inerenti una eventuale violazione dei dati personali (definita anche data breach).

Cosa è una violazione dei dati personali?
Per «violazione dei dati personali» si intende ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Essa può interessare trattamenti di dati personali effettuati con supporti cartacei oppure con strumenti informatici; ovviamente tale secondo aspetto presenta un maggiore indice di probabilità. Si tenga inoltre conto che non dobbiamo pensare a SE, ma a QUANDO esso avverrà, ed essere pronti a gestirlo.

All’art. 33 del GDPR è prescritto di “comunicare alla Autorità di Controllo, entro 72 ore dal momento che se ne è avuta conoscenza, la violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Art. 34 “Qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Voglio sottolineare che, qualora il data breach accada presso un Responsabile del Trattamento esterno (es. lo studio commerciale o il centro paghe), esso deve immediatamente informare i Titolari dei Trattamenti interessati, in quanto spetta ad essi mettere in atto le misure dapprima indicate.

Qualora un data breach interessi sistemi informativi, segnalo come sia importante gestirlo con l’ausilio di persone estremamente esperte e competenti; infatti quasi sempre tali eventi sono correlati ad attività penalmente rilevanti (es. artt. 615 ter, quater e quinquies, codice penale).

Occorre quindi intervenire non solo per chiudere la breccia, ma (prima) anche con le opportune attività di informatica forense.

Quindi consiglio alle organizzazioni di definire un dettagliato piano di gestione del data breach, per evitare di doverlo fare (magari in preda al panico) nelle poche ore a disposizione.

Data Breach

Una delle novità più rilevanti introdotte dal nuovo regolamento UE 2019/679 è senza dubbio la norma riguardante il Data Breach (violazione di dati personali).

Per alcuni settori la normativa riguardante il Data Breach non è una novità; per tutti gli altri un complesso adempimento da adottare entro il prossimo 25 maggio.

Quasi tutti sanno cosa sia un Data Breach, e gli adempimenti da fare nella eventualità che accada (non si tratta di se ma di quando).

Pochi sanno come fare per rilevare il Data Breach nelle infrastrutture I.T. aziendali, che sono sempre più complesse e distribuite; occorrerà predisporre una architettura di controllo ed avviso, che potrà essere passiva oppure reattiva (meglio), centralizzata o distribuita sui vari assets da monitorare.

Abbiamo la competenza e l’esperienza di varie infrastrutture di monitoring/alerting dedicate alla rilevazione ma anche alla mitigazione di cyber attacchi, realizzate sia con componenti commerciali che software open-source; in questo ultimo caso il costo è abbastanza limitato.