Data Breach o "violazione dei dati"

Cosa prevede la normativa GDPR in caso di violazione dei dati personali ?


Il nuovo Regolamento UE 2016/679 (GDPR) prevede, da parte del titolare del trattamento, la notifica delle violazioni dei dati personali, ad esempio gli accessi non autorizzati ai sistemi informativi aziendali, come nel caso di violazione da "ransomware" o altri virus simili.

L'art. 33 del Regolamento impone al titolare di comunicare l'avvenuta violazione all'Autorità Garante senza ingiustificato ritardo e, ove possibile, entro le 72 ore dal momento in cui se ne ha la percezione, specificando:
-La natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati nonché le categorie e il numero approssimativo di registrazioni di dati personali in questione;
-Il nome e i dati di contatto del responsabile della protezione dei dati;
-Le probabili conseguenze derivanti dalla violazione nonché le misure adottate per porvi rimedio.

Ai sensi del successivo art. 34 inoltre il titolare dovrà dare pronta comunicazione anche ai singoli interessati i cui dati personali sono stati oggetto di data breach, descrivendo, con linguaggio semplice e chiaro, la natura della violazione, ma solo nel caso in cui la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche cui si riferiscono.
Il titolare del trattamento non è vincolato da quest'obbligo solo se i dati personali erano stati preventivamente cifrati o se successivamente ha adottato misure idonee a scongiurare i rischi connessi o se detta comunicazione richiederebbe sforzi sproporzionati.

Quali sono le conseguenze dell'omessa notifica del "data breach" ?

La paura del danno d'immagine o delle presunte sanzioni, che quasi inevitabilmente ne conseguiranno, non deve suggerire al Titolare un comportamento passivo in quanto l'omessa notifica potrebbe aumentare sensibilmente i costi della violazione.
La mancata comunicazione potrebbe esporre il titolare del trattamento al rischio risarcitorio nel caso in cui venga rilevato un uso non autorizzato dei dati personali da lui conservati e finiti in mano agli hacher.

Cosa si può fare per mettersi al sicuro contro gli attacchi  ransomware ?

Non esiste una certezza assoluta di essere immuni da attacchi informatici, questo è praticamente impossibile.
Si possono adottare delle tecniche che possono ridurre di molto il rischio:

  • Fare molta attenzione a messaggi email di dubbia provenienza o con allegati sospetti (sono il principale veicolo di contagio).
  • Adottare regole di backup assolutamente certificate con criteri di ridondanza e diversificazione (regola 3 2 1) o affidarsi a dei consulenti esperti in materia (avere più di una fonte di recupero dati affidabile è inderogabile);
  • Adottare su tutti i propri sistemi antivirus efficaci con un adeguato sistema di controllo e manutenzione degli aggiornamenti;
  • Adottare la protezione perimetrale tramite firewall, dispositivi in grado di limitare o escludere accessi esterni non autorizzati o regolamentare in traffico delle rete con criteri predefiniti;
  • Adottare ed applicare criteri di aggiornamento costante dei software di sistema e degli applicativi in particolare quelli sulla sicurezza.


Fonte: Web, Studio Legale Pozzato.