È importante che aziende e dipendenti siano sempre preparati su cosa fare in caso di data breach, sapendo esattamente il flusso di attività da seguire in caso di violazione ai dati.
Il flusso di attività da seguire in caso di violazione ai dati può essere suddiviso in 5 fasi:
- rilevazione della violazione
- gestione della violazione
- valutazione della violazione
- notifica al Garante
- (eventuali) comunicazioni agli interessati
- registrazione delle violazioni
Rilevazione della violazione
La rilevazione della violazione parte dall’interno, attraverso quindi strumenti proprietari dell’organizzazione atti a rilavare la violazione della sicurezza, come ad esempio sistemi di Intrusion Detection, i quali avvertiranno i relativi responsabili dell’intrusione in atto, notificando perfino da dove è stata rilevata la penetrazione.
Gestione della violazione
Durante la fase di gestione della violazione dovranno essere individuate le informazioni compromesse (come dati sensibili, brevetti, listini, etc…), e porre in essere tutte le misure affinchè non si ripeti tale situazione (come ripristini dei sistemi informativi, aggiornamento antivirus, altro).
Valutazione della violazione
Chiarito questo, potremo dare avvio all’analisi della violazione, per individuare se ha riguardato o meno dati personali.
In caso affermativo, procederemo alla valutazione dei rischi, intendendo “rischi per i diritti degli interessati” (ovvero le persone alle quali i dati si riferiscono), che sono:
- danni fisici, materiali o immateriali alle persone fisiche;
- perdita del controllo dei dati personali;
- limitazione dei diritti, discriminazione;
- furto o usurpazione d’identità;
- perdite finanziarie, danno economico o sociale;
- decifratura non autorizzata della pseudonimizzazione;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari).
Notifica al Garante
Questi dati dovranno essere riportati nella notificazione insieme alle altre informazioni raccolte: descrizione dell’evento, natura dell’incidente, sistemi o supporti informatici coinvolti, indicazione delle misure di sicurezza che si sono rivelate inefficaci (consentendo la violazione), azioni intraprese per contrastare la violazione e quelle che il titolare intende intraprendere per ridurre il rischio di ripetizione dell’evento.
La notificazione dovrà essere inoltrata al garante entro 72 ore dal momento in cui il titolare ha riscontrato la violazione.
È importante osservare che, nel caso siano state adottate misure atte a prevenire i rischi per gli interessati in caso di violazione (ad esempio: crittografia dei dati), l’incidente può essere archiviato come non rilevante, omettendo la notificazione al Garante.
Comunicazioni agli interessati
Dovremo inoltre valutare se il rischio può essere considerato “elevato” quando la violazione può, a titolo di esempio:
- coinvolgere un rilevante quantitativo di dati personali e/o di soggetti interessati;
- riguardare categorie particolari di dati personali;
- comprendere dati che possono accrescere ulteriormente i potenziali rischi (ad esempio, dati di localizzazione, finanziari, relativi alle abitudini e preferenze);
- comportare rischi imminenti e con un’elevata probabilità di accadimento (ad esempio, rischio di perdita finanziaria in caso di furto di dati relativi a carte di credito);
- impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (ad esempio, pazienti, minori, soggetti indagati).
In tal caso sarà necessaria anche la comunicazione diretta agli interessati.
Registrazione delle violazioni
Da ultimo, il data breach dovrà essere riportato nel registro delle violazioni, con l’indicazione di tutte le informazioni di cui sopra, comprese le motivazioni che hanno condotto alla decisione di inviare o meno la notifica al Garante e l’eventuale comunicazione diretta agli interessati.
