I nostri Corsi
Executive Master Junior Master Mini Master e Corsi

Prova Corsi GRATIS
Perché CyberAcademy
Docenti Metodi di Pagamento FAQ Chi Siamo Contatti
Albo dei CyberLegali Webinar Blog LOGIN
☎ PARLA CON NOI

Data breach: cosa significa e cosa fare in caso di violazione di dati

cyber security data protection Nov 22, 2022
Il data breach è una violazione della sicurezza di banche dati di aziende ed enti pubblici

Quando nell'ottobre del 2020, in Finlandia, Vastaamo ha comunicato un data breach, nessuno avrebbe mai potuto pensare al successivo fallimento dell'azienda. Vastaamo era infatti una società privata, convenzionata con il sistema sanitario pubblico finlandese che forniva servizi di supporto alla salute mentale. Fondata nel 2008 era considerata “il McDonald's della psicoterapia”, gestiva una ventina di cliniche private e impiegava circa 200 fra terapisti e personale. Alla fine del 2019 il fatturato annuo era di oltre 18 milioni di dollari.

L'attacco informatico ha comportato la sottrazione di informazioni riservate dei pazienti: nomi, recapiti, indirizzi, numeri di previdenza sociale ma anche le note dei terapisti oltre a stralci di conversazioni tra questi e i pazienti. Gli autori dell'attacco hanno poi chiesto un riscatto da 40 Bitcoin minacciando la pubblicazione delle cartelle cliniche e dei dati personali dei pazienti: “non chiediamo molto, circa 450.000 euro, meno di 10 euro a paziente, una frazione minima dei circa 20 milioni di fatturato annuo di questa azienda”. Quando Vastaamo ha rifiutato di pagare, gli attaccanti sono passati alla diffusione del contenuto delle cartelle cliniche e alle richieste di riscatto ai singoli pazienti: si parla di più di 30.000 interessati. 

In seguito al data breach l’Autorità Garante finlandese ha avviato delle indagini dalle quali è emerso come le violazioni di dati dei pazienti fossero cominciate già dal 2018, quindi la società avrebbe dovuto comunicare il data breach oltre che all’autorità garante, anche ai propri pazienti, senza ingiustificato ritardo. L’istruttoria ha poi rilevato l’inadeguatezza delle misure di sicurezza tecniche e organizzative messe in atto. Tutto questo ha portato all'irrogazione di una sanzione da € 608.000Per le ricadute dirette derivanti dalla violazione di dati, nel febbraio del 2021 la società è stata costretta a dichiarare il fallimento. Questo è stato il prezzo che la società ha dovuto pagare non aver trattato i dati in conformità all'art. 35 del GDPR e per non aver adottato una data breach policy

Il GDPR, infatti, ha introdotto, in alcuni casi, l'obbligo di notificare la violazione di dati personali all'Autorità di controllo e di comunicare la violazione agli interessati coinvolti nel breach. Una corretta analisi dei rischi permetterebbe se non di scongiurare, almeno di minimizzare le probabilità di subire una violazione di dati con conseguente notifica al Garante: per questo vediamo come implementare, nell'ambito della gestione della propria attività, un modello di analisi dei rischi relativo alla violazione dei dati e la relativa procedura.   

 

Cosa significa data breach?

 

Per "data breach" si intende quella violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Quindi possiamo dire che una violazione di dati è un qualsiasi evento che può manifestarsi a causa di un comportamento umano accidentale o volontario, di un attacco informatico, di un malfunzionamento hardware o software che coinvolga dei dati personali e con il verificarsi del quale il titolare del trattamento non è più in grado di garantire l’osservanza dei principi relativi al trattamento dei dati personali previsti dal GDPR.

Un data breach può essere classificato in base ai tre principi della sicurezza delle informazioni:

 

  • violazione dell'integrità: si ha quando si ha una modifica non autorizzata o una manomissione dei dati personali
  • violazione della riservatezza: si ha quando si verifica un accesso non autorizzato ai dati o con la loro diffusione
  • violazione della disponibilità: si ha quando si verifica la distruzione o la perdita dei dati

 

Ci sarà una modifica laddove i dati siano alterati anche se esistenti (ad. es. per un errore umano o un'azione di malware) e una divulgazione non autorizzata o accesso ad es. nel caso di utenti che riescano ad accedere a dati personali che non sono di loro competenza, per un errore di configurazione del sistema o al caso di diffusione illecita dei dati personali (ad es. invio via e-mail di documenti a destinatari errati; attacchi informatici). La distruzione comprende, invece, tutte le ipotesi di perdita irreversibile dei dati. ad. es. in un incendio/allagamento, un danneggiamento fisico non accidentale, ecc. mentre la perdita, invece, comprende le ipotesi in cui i dati personali sono ancora esistenti ma il Titolare ne ha perso il controllo o l’accesso o non ne sia più in possesso (ad. es. furto di un dispositivo contenente dati personali).

 

Cosa fare quando avviene un data breach?

 

Una volta avvenuto un data breach, per valutare la necessità di notificare la violazione al Garante e agli interessati qualora il rischio per gli stessi risulti elevato, al fine di mitigarne gli effetti attraverso l'eventuale predisposizione di rimedi, sono necessarie la preventiva implementazione nell'organizzazione, di un modello di analisi e studiare e attivare una procedura di gestione del data breachQuesto processo aziendale deve comprendere una suddivisione in step, deve individuare dei referenti specifici e metodologie di analisi chiare che permettano poi all'ente di decidere entro le famose 72 ore, se notificare all'Autorità di controllo e le misure di mitigazione del breach al fine di alleviarne le conseguenze per l'azienda e per gli interessati coinvolti. Una procedura di data breach ben strutturata potrebbe prevedere le seguenti fasi.

 

I 4 step di gestione del data breach

 

1. La fase di analisi preliminare, antecedente al data breach, è la fase più importante perché se impostata correttamente permette di reagire alla violazione di dati mitigandone efficacemente le conseguenze. In questo step vanno scandagliati i propri sistemi andando a caccia di ogni vulnerabilità, conducendo penetration test o la simulazione di attacchi hacker.

Non dobbiamo poi dimenticare che il GDPR chiede ai titolari e ai responsabili del trattamento di attuare tutte le misure tecniche e organizzative necessarie per rilevare immediatamente un data breach e questa fase di analisi è propedeutica alla verifica delle misure tecnologiche e organizzative di protezione messe in atto per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato. 

2. La fase di valutazione e contenimento del data breach è la procedura che deve valutare probabilità e gravità del rischio effettivo per i diritti e le libertà delle persone fisiche, a cui i dati personali sono esposti e il suo impatto al verificarsi della violazione. Questo rischio deve essere calcolato tenendo presente sia la tipologia di dati trattati sia le misure di sicurezza adottate. Dai risultati di questa analisi dipendono le conseguenti misure di mitigazione da adottare. L'incidente di sicurezza, quindi, viene contrastato attraverso la predisposizione di un piano di risposta documentato che preveda azioni di tamponamento e l'assegnazione di ruoli di responsabilità dei vari autorizzati della collaborazione dei quali il titolare del trattamento si avvale. Della previsione di questi ruoli occorre tenere traccia sia nelle clausole contrattuali, sia nelle nomine ma affinché ci sia una collaborazione efficace, occorre anche che tutto il personale sia adeguatamente formato per fronteggiare il breach.  

3. Nella fase di reazione al data breach il regolamento dispone che in caso di violazione dei dati personali, il titolare del trattamento notifichi la violazione all'autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. É possibile anche la notifica per fasi: infatti qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. Ma per reagire ad una violazione di dati bisogna accorgersi che una violazione di dati c'è effettivamente stata: dal momento in cui l'organizzazione viene a conoscenza del data breach, parte il conto alla rovescia delle 72 ore. In questo lasso di tempo si deve attivare la procedura di valutazione del data breach e se ne devono analizzare i risultati, attuando le misure di mitigazione del rischio già previste nella fase preliminare.

4. La comunicazione “di crisi” è, invece, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo al fine di consentirgli di prendere le precauzioni necessarie. Questa fase va gestita anche sotto il profilo puramente comunicativo per evitare cadute reputazionali negative sull'organizzazione, sempre tenendo presente che il titolare del trattamento,  a seguito di una violazione di sicurezza, deve compiere tutti gli adempimenti prescritti, anche subordinando i propri interessi economici e di immagine alla tutela dei dati personali degli interessati.

 

Cosa fare dopo a termine di un data breach?

 

La corretta tenuta del registro delle violazioni conclude la procedura di data breach: il titolare del trattamento deve in ogni caso documentare le violazioni di dati personali subite, anche se queste non sono state notificate né all'Autorità di controllo né e agli interessati. Oltre a questo deve indicare le circostanze in cui è avvenuto il data breach e le conseguenze e i provvedimenti adottati. Già durante la fase di analisi preliminare si possono assegnare i ruoli di responsabilità ai vari autorizzati al trattamento, prevedendo chi sarà tenuto alla compilazione e alla tenuta del registro. Per tutti i professionisti o le aziende che volessero approfondire i temi legati alla data protection, abbiamo creato l'Executive Master Data Protection e Cyber Legal con più di 120 lezioni utili ad approfondire i temi legati all'era digitale e della sicurezza aziendale con i maggiori esperti del settore.

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy

 

Condividi su:

 

La prima Academy per diventare Cyber Legali

I Corsi e Master di CyberAcademy affrontano tutti i temi legati all'era digitale e alla sicurezza aziendale con i maggiori esperti del settore.

SCOPRI DI PIÙ

Iscriviti alla newsletter dei Cyber Legali

Riceverai la nostra newsletter settimanale con tutti i nostri nuovi articoli e webinar gratuiti.

Categorie

Scopri anche i nostri Webinar gratuiti.

VAI AI WEBINAR

Iscriviti alla Newsletter.

ISCRIVITI

CyberAcademy nasce da un’idea di Luisa Di Giacomo, Cyber avvocato, ed Enrico Amistadi, ingegnere informatico, per sviluppare competenze “orizzontali” e creare nuovi progetti per il vostro futuro lavorativo. Siamo Cyber Professionisti che credono nella collaborazione tra diverse professionalità e background.

© 2024 CyberAcademy Srl. Tutti i diritti riservati
P.IVA12739100019

PRIVACY POLICY

COOKIE POLICY

TERMINI E CONDIZIONI

FAQ