1 SEP 2021 · Secondo l’articolo 4 del General Data Protection Regulation, o GDPR, il Data Breach, o «violazione dei dati personali», è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
Per le linee guida del Comitato Europeo per la Protezione dei Dati (EDBP), il Data Breach può essere catalogato in tre macro-categorie:
•Confidentiality (confidenscialitì) Breach, la divulgazione di informazioni senza il consenso dell’interessato
•Availability (Evelabilitì) Breach, la perdita dell’accesso ai dati
•Integrity (integritì)Breach, la perdita di integrità dei dati
Per citare alcuni esempi presenti sul sito del Garante della Privacy:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
Per prima cosa è necessario chiarire che non è possibile evitare al 100% un Data Breach, ma è possibile attivare una serie di azioni preventive che possono limitare il rischio ed è, invece, obbligatorio attivare una serie di attività postume alla violazione per informare il Garante della Privacy.
La prevenzione si basa su alcune azioni determinanti:
1.Investire tempo e risorse in formazione continua e costante per gli stakeholder
2.Delineare un regolamento per il rispetto delle regole del GDPR e l’utilizzo delle risorse informatiche aziendali
3.Monitorare i log, ovvero verificare periodicamente l’elenco cronologico delle attività svolte da un sistema operativo, da un database o da altri programmi, per scovare le anomalie
4.Monitorare anche i dispositivi finali non aziendali utilizzando dei programmi specifici
5.Redigere un rapporto dettagliato su tutte le attività sospette
6.Verifica periodica del rispetto dei protocolli e delle procedure
Invece in caso di Data Breach è obbligatorio attivare alcune azioni:
•Informare il Garante della Privacy, entro 72 ore se azienda privata (art. 33 del GDPR)
•Informare il Garante della Privacy, entro 48/24 ore se azienda pubblica (art. 33 del GDPR)
•Informare gli interessati dei dati personali (art. 34 GDPR), in alcuni casi specifici...