Per Data Breach, nella versione italiana violazione dei dati personali si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Sempre secondo il GDPR, la notifica di eventuali violazioni di dati dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuto a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo dovrà essere motivato.

Che cosa si intende per data breach o violazione dei dati personali?

L’art. 4 del regolamento europeo definisce la violazione dei dati personali (data breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Quindi, un data breach non è solo un evento doloso come un attacco informatico, ma può essere anche un evento accidentale come un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un notebook di un dipendente). La normativa richiede che i titolari del trattamento predispongano le misure tecniche e organizzative adeguate per impedire tali evenienze e quindi per garantire un livello di sicurezza commisurato al rischio cui sono esposti i dati trattati.

Le violazioni possono essere classificate in base ai seguenti tre principi della sicurezza delle informazioni:

• violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
• violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali;
• violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.

A seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.

Il Regolamento europeo stabilisce una apposita procedura in caso di violazioni dei dati personali. Inoltre è reputato essenziale, ai fini della conformità alle norme europee, che le aziende redigano una procedura interna per la gestione delle violazioni dei dati personali e che dimostrino di applicarla correttamente.

Quali sono Linee Guida dell’European Data Protection Board (EDB)

Il General Data Protection Regulation introduce l’obbligo di notificare una violazione dei dati personali all’autorità di controllo nazionale competente (di seguito “SA- Security Authority” in Italia la Data Protection Authority – Autorità Garante sulla Privacy) e, in alcuni casi, di comunicare la violazione alle persone i cui dati personali sono stati interessati dalla violazione (Articoli 33 e 34). Il Gruppo di lavoro articolo 29 (WP29 Working Party 29) ha già prodotto una guida generale sulla notifica di violazione dei dati nell’ottobre 2017, analizzando le sezioni pertinenti del GDPR (Linee guida sulla notifica di violazione dei dati personali ai sensi del regolamento 2016/679, WP 250) (di seguito “Linee guida WP250). Tuttavia, a causa della sua natura e tempistica, questa documentazione non ha affrontato, in maniera esaustiva e completa, tutte le casistiche pratiche in modo sufficientemente dettagliato. Pertanto, è sorta la necessità di redigere delle linee guida orientata alla pratica e basata sui casi che utilizzi le esperienze acquisite dalle autorità di vigilanza poiché il GDPR è applicabile.

Queste nuove linee guida adottate nel mese di Gennaio 2021 dall’EDPB, intendono integrare le Linee guida WP 250 e riflettere le esperienze comuni delle SAs (Security Authority) dello EEA (EEA Member States) da quando il GDPR è diventato applicabile. Il suo scopo è quello di aiutare i responsabili del trattamento dei dati a decidere come gestire le violazioni dei dati e quali fattori considerare durante la valutazione del rischio.

Nell’ambito di qualsiasi tentativo di porre rimedio a una violazione di dati (Data Breach), il titolare del trattamento dovrebbe prima essere in grado di riconoscerla. Il GDPR definisce una “violazione dei dati personali” nell’articolo 4 (12) come “una violazione della sicurezza che porta alla distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata o accesso ai dati personali trasmessi, archiviati o altrimenti elaborati”

L’European Data Protection Board ha adottato in data 28-03-2023, dopo una fase di consultazione pubblica partita a settembre 2022 (09/2022), la versione 2.0 delle linee guida riguardanti gli obblighi di notifica delle violazioni dei dati personali L’aggiornamento è indirizzato in maniera esclusiva a titolari del trattamento che hanno un rappresentante all’interno di uno dei Paesi dell’Unione, rientrando nell’ambito di applicazione del GDPR – e dunque: sono soggetti destinatari degli obblighi – in forza del criterio di targeting del trattamento. Difatti, sono obbligati a nominare un rappresentante i titolari stabiliti in un paese terzo che svolgono però attività che coinvolgono intenzionalmente i dati personali di interessati che si trovano all’interno del territorio dell’Unione per l’offerta di beni e servizi o altrimenti per il monitoraggio dei comportamenti (nella misura in cui tali comportamenti avvengono all’interno del territorio dell’Unione).

Infatti per questi soggetti viene espressamente esclusa l’applicazione del principio di one-stop-shop ovverossia dell’individuazione dell’autorità di controllo capofila di cui ha sede lo stabilimento principale dell’azienda, andando a conformarsi con quanto già disposto all’interno delle linee guida WP244 e EDPB 3/2018 secondo una lettura coerente e sistematica. Infatti, nella versione previgente era individuata come autorità di controllo capofila cui notificare la violazione di dati personali quella del Paese presso cui risiedeva il rappresentante legale. Adesso, la notifica dovrà invece avvenire in modo granulare nei confronti di ciascuna delle autorità di controllo di riferimento (DPA- Data Protection Authority) per gli interessati coinvolti.

Questo aggiramento dell’obbligo di cui all’art. 33 GDPR in capo al titolare del trattamento impone quinid la capacità tecnica dello stesso di essere in grado di distinguere già nell’immediato dell’analisi dell’incidente – e dunque entro le 72 ore prescritte dalla norma – un criterio di riferibilità territoriale dei dati personali raccolti e trattati.

Cosa fare in caso di data breach?

l titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Quali violazioni vanno notificate al garante della privacy?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali.

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

Come inviare la notifica di violazione?

A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile  all’indirizzo https://servizi.gpdp.it/databreach/s/

Nella stessa pagina è disponibile un modello facsimile, da NON utilizzare per la notifica al Garante ma utile per vedere in anteprima i contenuti che andranno comunicati al Garante.

Per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante ha ideato e messo disposizione un apposito strumento di autovalutazione (self assessment)  che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.

Contenuto della notifica

La notifica deve presentare il contenuto stabilito dall’art. 33 del GDPR, e cioé:

• descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
• comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
• descrivere le probabili conseguenze della violazione dei dati personali;
• descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Strumenti per prevenire il data breach

È cruciale monitorare costantemente i sistemi e le reti per rilevare eventuali attività sospette o anomalie. L’implementazione di sistemi di monitoraggio avanzati e l’analisi dei log possono aiutare a individuare tempestivamente eventuali violazioni dei dati.

Per prevenire i Data breach, è necessario investire in formazione e consapevolezza. Gli utenti interni devono essere alfabetizzati sulla sicurezza informatica e sensibilizzati sui rischi cyber, in particolare quello associati ai Data breach. Devono apprendere pratiche di sicurezza, imparare a identificare potenziali minacce come il phishing e imparare a proteggere password, ricorrendo a password manager e tenere in sicurezza i dati sensibili.

È inoltre fondamentale essere trasparenti e comunicare in modo tempestivo con gli interessati in caso di violazione dei dati. Le aziende devono informare i clienti e gli stakeholder interessati sulla violazione, sulle misure adottate per mitigare gli effetti e sulle precauzioni che possono prendere per proteggere sé stessi.

Le aziende devono mantenere costantemente aggiornati i loro sistemi e applicare le patch di sicurezza man mano che i vendor (hardware e software) le rilasciano, per mitigare il rischio che criminal hacker sfruttino le vulnerabilità note. Soprattutto a ridosso dal rilascio di un update di sicurezza. Bisogna usare software e sistemi operativi supportati e gestire attivamente e vulnerabilità.

Le principali buone pratiche di sicurezza dei dati riguardano la crittografia dei dati in transito (attraverso protocolli sicuri come HTTPS) e dei dati inattivi conservati nei Data center o in dispositivi o supporti di archiviazione.

L’implementazione dell’autenticazione a più fattori aggiunge un ulteriore livello di sicurezza. Richiedere un secondo fattore di autenticazione, come un codice generato dall’applicazione sullo smartphone dell’utente, può alzare l’asticella evitando che attaccanti riescano infiltrarsi nei sistemi.

Altra buona pratica ineludibile è l’aggiornamento dei sistemi. Mantenere i sistemi operativi, i server, i firmware, le applicazioni e i dispositivi aggiornati con gli ultimi update e patch di sicurezza è fondamentale per mitigare le vulnerabilità note e proteggerli da attacchi noti.

La politica delle password robuste è una best practice. Le password deboli o scritte su post-it sono una delle principali cause di violazioni dei dati. Le aziende dovrebbero incoraggiare l’uso di password complesse, lunghe e uniche da proteggere nei password manager. Inoltre, è consigliabile implementare l’autenticazione a due fattori per rafforzare ulteriormente la sicurezza delle password.

Un’accurata e puntuale gestione degli accessi, limitando l’accesso ai dati sensibili solo al personale autorizzato e fornendo privilegi di accesso appropriati in base alle responsabilità professionali, aiutya prevenire accessi non autorizzati. L’uso di soluzioni di gestione degli accessi può facilitare la gestione dei privilegi e ridurre i rischi legati alla possibilità di scalare quei privilegi.

Effettuare regolarmente backup dei dati e testare i processi di ripristino è importante permette di garantire che i dati possano essere recuperati in caso di perdita o corruzione. I backup dovrebbero essere conservati in un luogo sicuro e separato dai sistemi principali.

Formare il personale sulla sicurezza informatica, fornendogli linee guida ed educandolo alla consapevolezza sulla sicurezza fa parte delle buone pratiche di sicurezza, per alimentare una cultura della sicurezza all’interno dell’organizzazione.

Valutazione del rischio data breach

La valutazione del rischio di un data breach è uno degli adempimenti più ostici introdotti dal GDPR. Proprio la quantificazione della probabilità di rischio per i diritti e le libertà delle persone fisiche è stata l’attività oggetto di maggiore attenzione. Ecco le best practice per una corretta gestione del data breach.

La materia è disciplinata dal GDPR, che prevede all’art. 33 la notifica della violazione da parte del titolare all’Autorità di controllo “a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche” e, all’art. 34, la comunicazione della violazione all’interessato solo quando la violazione stessa “è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Le prime indicazioni sono del WP29 (ora EDPB), inserite nelle Linee Guida sulla notifica delle violazioni dei dati personali del 2017 emendate nel febbraio 2018.

Al fine di valutare la gravità della violazione e quindi il grado di rischio per gli interessati, Il WP29 suggerisce di prendere in considerazione:

• le caratteristiche particolari del titolare e degli interessati;
• il numero delle persone fisiche coinvolte;
• il tipo di violazione;
• la natura della violazione;
• il carattere sensibile e il volume dei dati personali violati;
• la facilità di identificazione delle persone fisiche interessate.

Per calcolare il rischio, le Linee Guida propongono una formula elaborata dall’ ENISA – l’Agenzia della UE per la sicurezza delle reti e dell’informazione – che determina la gravità del data breach tenendo in considerazione tre fattori:

• il contesto del trattamento (ad esempio dati finanziari, dati particolari ecc.);
• la facilità di identificazione dell’interessato coinvolto;
• le circostanze del data breach.

A questi fattori viene attribuito un valore (fra quelli indicati in apposita tabella) tenuto conto della stima specifica del caso. Il grado di rischio è determinato moltiplicando il dato relativo al contesto di trattamento a quello della facilità di identificazione dell’interessato sommato alla valutazione delle circostanze del data breach.

Nel contesto pervasivo e crescente dei data breach, il Data Protection Officer DPO assume il ruolo di guida per il titolare del trattamento attraverso un processo rigoroso di analisi e valutazione in caso di violazioni dei dati.

Se desideri supporto nella compliance alle norme GDPR contattaci. Un nostro tecnico sarà a tua disposizione per definire assieme la migliore soluzione adatta a te.