Mondo-Privacy-Data-breach-regolamento-ue

Data breach e Regolamento UE: la violazione informatica deve essere denunciata

L’art. 33 del Regolamento Europeo 679/2016 introduce una grossa novità nello scenario della sicurezza dei dati: la necessità di notificare la violazione dei propri sistemi informatici (ossia un data breach) al Garante. Inoltre, l’art. 34 estende, in alcuni casi, tale notifica a tutti gli interessati!

Scatta, quindi, un obbligo di autodenuncia: entro 72 ore da cui si viene a conoscenza di una violazione dei propri sistemi informatici è necessario seguire una procedura che notifichi la violazione all’autorità Garante della Privacy.

Casi reali di data breach consistenti

Il rapporto Clusit 2015 ha effettuato una classifica dei casi di società importanti che hanno avuto i data breach più significativi del 2015, tra queste:

  • JP Morgan, banca internazionale, con la sottrazione di quasi 79 milioni di record
  • Home Depot, catena di negozi di bricolage, con il furto di milioni di carte di credito
  • Target, catena di supermercati, con furto di milioni di carte di credito
  • E-bay, piattaforma di e-commerce, che si è vista sottrarre 145 milioni di record
  • Gruppo Benetton, multinazionale di abbigliamento che ha visto trafugati le bozze di una collezione
  • Sony, trafugati più di 30 milioni di record con il fermo dei sistemi per 3 giorni

O, ancora, Trend Micro mette in evidenza i casi di:

  • Antehm, nel settore sanitario, 80 milioni di informazioni personali andate perse
  • Ashley Madison, sito internet per relazioni extraconiugali, 37 milioni di record persi
  • Hacking Team, nel settore IT, con un numero imprecisato di dati sottratti
  • Premera Blue Cross, settore sanitario, 11 milioni di record persi

Questi sono solo alcuni dei casi, i più noti perché portati all’onore delle cronache, che hanno visto le aziende essere protagoniste di attacchi informatici. In realtà miglia e migliaia sono le imprese, anche piccole o piccolissime, che sono state oggetto di attacchi informatici che hanno compromesso la sicurezza dei loro sistemi.

Secondo la Kaspersky Lab ZAO (azienda specializzata nella produzione di software per la sicurezza informatica) nel 2015 più della metà dei PC aziendali (58%) ha subito almeno un tentativo di infezione malware (software dannosi, spesso rilasciati via web). Un computer su tre (29%) è stato esposto almeno una volta a un attacco via Internet e spesso (41% dei casi) ha dovuto affrontare anche minacce di tipo locale, quali quelle provenienti da memorie USB infette o altri dispositivi rimovibili compromessi.

Cosa deve fare un’azienda che ha subito una violazione informatica, ossia un data breach?

Secondo quanto previsto dall’art. 33 del Regolamento Europeo sulla Privacy 679/2016 un’azienda che ha subito un data breach deve:

1 – Descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

Questo punto presuppone la presenza in azienda di personale informatico adeguatamente preparato oppure un servizio esterno con qualche bravo sistemista (meglio se con un contratto che citi espressamente questo punto).

Inoltre è necessaria la presenza di policy aziendali che permettano all’azienda di avere sempre contezza del numero degli interessati di cui si tratta i dati e delle relative registrazioni di dati.

2 – Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

Il Data Protection Officer o altro incaricato preventivamente nominato diventa il punto di contatto con il Garante.

3 – Descrivere le probabili conseguenze della violazione dei dati personali;

Indipendentemente da un obbligo di legge, sarebbe opportuno verificare preventivamente quali siano i rischi nel trattare i dati. Avere chiari i pericoli ed i rischi è importante anche nel trattare i dati.

4 – Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi

Anche in questo caso, andare ad identificare che misure adottare in piena crisi, a seguito di un evento dannoso, in un momento in cui si è nel mirino del Garante ed avendo poco tempo (72 ore –3 giorni- dalla scoperta dell’evento) risulta molto difficile ed impegnativo. Molto meglio analizzare la questione preventivamente ed individuare una serie di miglioramenti alle proprie misure di sicurezza che potrebbero essere implementati nel tempo e che possono evitare data breach.

Gianluca

About Gianluca

Oltre 16 anni di esperienza nel settore, costanti aggiornamenti e una vera e propria passione. Seguo i miei clienti passo dopo passo e accetto ogni nuova sfida con entusiasmo e grinta. A disposizione per chiarire i vostri dubbi su questo e altri argomenti!