Il termine inglese “data breach” in italiano si traduce in “violazione dei dati”. Riguarda sia il mondo della sicurezza informatica che i trattamenti analogici.
Il data breach è una violazione di sicurezza in cui dati sensibili, riservati o personali vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Questo può verificarsi in diverse circostanze, come la perdita accidentale, il furto, l’infedeltà aziendale o l’accesso abusivo.
Data Breach: rischi e gestione
Tipi di Data Breach
I data breach rappresentano la compromissione della sicurezza dei dati, esponendo informazioni sensibili. Questi incidenti variano da attacchi informatici a perdite non autorizzate anche involontarie, minacciando la privacy digitale.
1 – Perdita Accidentale e involontaria
Un esempio di data breach è la perdita accidentale di un supporto di archiviazione portatile contenente dati personali. In questo caso si può verificare una perdita di riservatezza e di disponibilità.
2 – Furto o rapina
Anche il furto di un notebook, tablet o smartphone (ma anche pen drive) può costituire un data breach, in mancanza di misure di sicuruezza come il backup e la crittografia.
3 – Infedeltà Aziendale
Si può verificare un data breach anche se un dipendente infedele, autorizzato a trattare i dati personali nell’ambito della sua mansione, utilizza tali dati al di fuori di quanto previsto.
4 – Accesso Abusivo o non autorizzato
Il data breach può anche verificarsi quando un soggetto tratta i dati personali senza alcuna autorizzazione violando i sistemi informativi tramite tecniche di hacking.
Conseguenze del Data Breach
Cosa succede in caso di data breach?
In caso di data breach ci sono tre possibili conseguenze
Perdita di riservatezza
La divulgazione o l’accesso ai dati da parte di terzi non autorizzati può comportare gravi violazioni della privacy.
Perdita di integrità
I dati potrebbero subire alterazioni non autorizzate che ne comprometterebbero l’affidabilità e l’accuratezza.
Perdita di disponibilità
I dati potrebbero risultare indisponibili temporaneamente o in modo permanente.
Data Breach: cosa fare in caso di violazione dei dati
In caso di violazione dei dati, è importante agire rapidamente per proteggere le persone dall’impatto che tale evento potrebbe avere sui loro diritti e sulle loro libertà
1 – Fase di Valutazione del Data Breach
2 – Fase di Risposta al Data Breach
3 – Fase di Notifica
Esempi di violazioni dei dati personali
Nel mondo digitale in cui viviamo, diverse categorie di dati sono soggette a violazione che impattano sui numerosi ambiti della vita delle persone. Vediamo alcuni esempi suddividendoli in diverse sezioni.
Violazioni di dati finanziari
Violazioni dei dati sanitari
Violazioni personali
Adempimenti previsti in caso di violazione dei dati: Come Proteggere le persone ed i loro dati
Il GDPR prevede l’obbligo di valutare le violazioni, i rischi per gli interessati e l’impatto sulla loro vita e se del caso la notifica all’autorità competente. Vediamo dunque dettagli di questi adempimenti e scopriremo come le aziende e la pubblica amministrazione devono operare in caso di una violazione dei dati personali.
Come Ridurre i Rischi e Prevenire i Data Breach
La prevenzione dei data breach è fondamentale. Occorrono specifiche e accurate valutazioni dei rischi e la previsione di misure di sicurezza e mitigazione di tipo legale, tecnologico e organizzativo. Le violazioni dei dati rappresentano una seria minaccia per la sicurezza delle informazioni, ma è possibile adottare misure per ridurre i rischi e prevenirle efficacemente.
Uno standard importante da seguire è l’ISO 27040, che fornisce linee guida per evitare episodi di data breach. Questo standard copre aspetti di minacce, vulnerabilità e controlli associati a scenari di archiviazione tipici.
Domande Frequenti sul Data Breach
Per proteggere i dati finanziari, è consigliabile utilizzare password complesse, attivare l’autenticazione a due fattori e monitorare regolarmente i conti bancari per rilevare attività sospette.
In Italia, la protezione dei dati personali è disciplinata dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea 2016/679 e dal D.Lgs. 196/2003 poi novellato dal D.Lgs. 101/2018, detto Codice Privacy.
Se sospetti di essere stato coinvolto in una violazione di data breach, dovresti contattare immediatamente l’azienda o l’organizzazione coinvolta e seguire le loro indicazioni per proteggere i tuoi dati.
Le conseguenze legali per i cybercriminali possono includere multe significative e pene detentive, a seconda della gravità della violazione e delle leggi locali.
Puoi rimanere aggiornato sulla sicurezza informatica seguendo blog e risorse online dedicate, partecipando a webinar e corsi di formazione, e unendoti a comunità di esperti del settore.
Se non si rispettano gli adempimenti previsti dall’art.33 del GDPR, prima elencati, si possono subire sanzioni finanziarie significative.
Dal 2018 si è passati da una previgente norma prescrittiva all’attuale analisi dei rischi e all’implementazione di misure IDONEE a mitigare i rischi identificati. Tuttavia alcune misure di sicurezza consigliate includono la crittografia dei dati, la formazione del personale e la sorveglianza continua dei sistemi.
Il responsabile della protezione dei dati personali in un’azienda è il titolare del trattamento, ai sensi dell’art. 4 del GDPR.
È necessario premettere che la traduzione del regolamento europeo 2016/679 dalla lingua inglese all’italiano ha creato non pochi malintesi relativamente al termine ”responsabile”. Infatti troviamo che il termine “processor” di cui all’art. 28 è stato tradotto con “responsabile del trattamento” ed anche il famoso “data protection officer”, citato all’art. 37 corrisponde al “responsabile della protezione dei dati”.
Bene, o per meglio dire male, in quanto ai non addetti ai lavori potrebbe apparire chiaro che la responsabilità in caso di violazioni ricada su questi soggetti, cosiddetti responsabili.
Invece è vero il contrario. Questi “responsabili” in caso di violazioni non sono imputabili dell’accaduto, in quanto le responsabilità, ovvero gli impegni, riguardano direttamente il titolare del trattamento che è il soggetto, persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali.
Il Responsabile della Protezione dei Dati (acronimo italiano RPD), ovvero il Data Protection Officer (acronimo in inglese DPO), i cui compiti sono descritti all’art. 39 del GDPR, deve informare, fornire consulenza e pareri al titolare del trattamento, sorvegliare che egli osservi le previsioni della normativa vigente in materia di protezione dei dati personali e fungere da punto di contatto con l’autorità di controllo e verso tutti gli interessati.
Il Garante riceve le notifiche di violazione dai titolari e valuta l’eventuale violazione delle prescrizioni della normativa vigente in materia di protezione dei dati personali. Ciò potrebbe includere la richiesta di azioni correttive e l’imposizioni di eventuali sanzioni di natura amministrativa.
A meno che sia improbabile che una violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, il GDPR impone ad ogni titolare, nel caso indicato, di notificare l’accaduto all’Autorità Garante Privacy. In questi casi non notificare l’incidente comporta una violazione del Regolamento Europeo ed una possibile sanzione il cui valore dipende dall’entità, dimensione e contesto della violazione stessa e del titolare.
Per proteggere i dati sensibili dalla perdita accidentale, è consigliabile utilizzare sistemi di crittografia e implementare procedure di gestione dei dati sicure.
Se sospetti un data breach, dovresti immediatamente isolare il problema, effettuare una valutazione completa e informare le autorità competenti, se necessario.
Le copie forensi sono fondamentali per raccogliere e cristallizzare elementi di prova informatici. Possono essere utilizzate per comprendere l’entità di ciò che è accaduto, identificare le vulnerabilità e migliorare la sicurezza dei sistemi.