Written by 15:18 Media, Wired Italia

Cosa deve fare un’azienda in caso di data breach e violazione della privacy

cybersecurity

di Vincenzo Tiani

Il 14 gennaio il comitato dei garanti europei per la protezione dei dati (Edpb) ha pubblicato le sue linee guida per aiutare aziende e professionisti in caso di data breach. Aperto a feedback fino al 2 marzo, questo documento include esempi più pratici rispetto al precedente pubblicato nel 2017 e tiene conto dell’evoluzione degli attacchi informatici degli ultimi anni.

Il data breach, ricordiamolo, può prevedere una “violazione della riservatezza” – quando c’è una divulgazione non autorizzata o accidentale di, o accesso, ai dati personali; una “violazione dell’integrità” – quando si verifica un’alterazione non autorizzata o accidentale dei dati personali; una “violazione della disponibilità” – quando c’è una perdita accidentale o non autorizzata di accesso o distruzione di dati personali. I danni possono andare dalla mera divulgazione della propria mail ad azioni di phishing, prelievi dal conto corrente, rivelazioni di informazioni riservate.

A seconda della gravità del data breach, che può derivare da un attacco mirato o essere del tutto fortuito, il regolamento europeo sui dati personali, il Gdpr, prevede tre possibilità tra loro cumulabili (articoli 33 e 34): la documentazione interna dell’accaduto, la comunicazione al garante se si ravvisa un rischio per i diritti e le libertà degli interessati e la comunicazione agli interessati se questo rischio è considerato alto. Nella comunicazione, che va fatta entro 72 ore dal momento in cui si venga a conoscenza dell’accaduto, va descritta la natura della violazione indicando il tipo di dati interessati (se ad esempio si tratta di dati particolari), il numero, le circostanze, le probabili conseguenze della violazione e le misure adottate o proposte dal responsabile del trattamento per affrontare la violazione dei dati personali, comprese, se del caso, le misure per mitigarne i possibili effetti negativi. 

Poiché tale valutazione non è semplice da fare e deve tenere in considerazione diversi fattori, il comitato dei garanti ha proposto nelle sue linee guida diciotto esempi che comprendono casi tipici come i ransomware, attacchi di esfiltrazione di dati, perdite di dati dovute all’errore umano, perdita o furto di dati su dispositivi e documenti cartacei, ingegneria sociale.

Leggi tutto l’articolo su Wired Italia.

Close