Cos’è un data breach: cause, effetti e norme di legge sulle violazioni dei dati personali

By | Gennaio 12, 2021
Cos’è un data breach

Spesso in modo più o meno inconsapevole tendiamo ad autorizzare le applicazioni ad accedere alle informazioni personali, che sempre più di frequente vengono condivise sui social. Non sempre le app utilizzate rispettano i rigidi parametri sulla privacy, e troppo spesso i milioni di dati personali esposti al pubblico sono realmente a rischio.


>

Lo stesso articolo 4 del regolamento Europeo definisce la violazione dei dati personali come: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Pertanto non viene considerato solamente un evento doloso come potrebbe essere un attacco informatico un data breach, ma anche un evento accidentale come un accesso abusivo o la sottrazione di documenti personali.

Che cos’è un data breach? La definizione

Per data breach si intende un incidente nella sicurezza durante il quale avviene la perdita o l’accesso di informazioni personali senza autorizzazione. Potrebbe accadere infatti che in alcuni social ad esempio le informazioni di persone, aziende o organizzazioni vengano rese pubbliche senza il consenso degli stessi utenti.

Per definizione il data breach non sempre è associato ad un episodio di cyber attacco, ma piuttosto si verifica a causa dell’incauto utilizzo dei dati da parte delle App di terze parti.

Secondo quanto stabilito dagli articoli 33 e 34 del GDPR la notifica di violazione dei dati personali deve avvenire nel minor tempo possibile, ma soprattutto entro 72 ore dal momento in cui si è venuto a conoscenza della violazione dei dati personali.

E un’eventuale ritardo dovrà assolutamente essere giustamente motivato.

Articolo 33 e 34 nel GDPR

Il nuovo regolamento generale sulla protezione dei dati dell’Unione Europea in vigore da qualche anno ha introdotto due nuovi articoli che consentono di poter seguire delle specifiche indicazioni per i data breach, in particolar modo sul comportamento da tenere dalle aziende colpite da tale fenomeno.

Il regolamento amplia il concetto di violazione dei dati personali, non includendo esclusivamente i dati espropriati a causa di un attacco hacker, ma anche in caso di distruzione, perdita, modifica o anche divulgazione non autorizzata dei dati personali.

Ed è proprio riguardo i tempi di segnalazione dell’avvenuto data breach che è stato introdotto l’articolo 33, che prevede l’obbligo generalizzato per il titolare del trattamento di notifica di data breach la segnalazione alle autorità.

La DPA competente fornirà una modulistica online dove dovranno essere inserite tutte le informazioni obbligatorie, documenti che consentiranno alle autorità di controllo di poter verificare il rispetto delle normative.

Negli ultimi anni i casi di data breach si sono moltiplicati, rendendo necessaria una normalizzazione dal punto di vista legale per tutelare la privacy e non solo degli utenti. Questi ultimi rilasciano le informazioni riservate un po’ dovunque, sui social, sulle registrazioni su siti e forum. Pertanto si è reso necessario un intervento che desse più garanzie agli internauti da parte di chi legifera.

In caso di data breach la notifica dovrà descrivere la natura della violazione, comprese le categorie e il numero approssimativo di interessati, oltre a dover indicare il nome e i dati di contatto del responsabile della protezione dei dati.

Soffermandosi anche sulla descrizione delle probabili conseguenze delle violazioni dei dati personali, e di tutte le misure adottate o che ci si propone di adottare da parte del proprietario per porre una soluzione alla violazione dei dati privati.

Quando avviene una violazione dei dati personali, e questa comporta un rischio elevato per i diritti e la libertà delle persone, il titolare del trattamento deve effettuarne una comunicazione senza un ritardo ingiustificato.

La comunicazione non è richiesta all’interessato se il titolare del trattamento ha messo in atto ogni misura e strategia valida volta alla protezione dei dati sensibili, come ad esempio rendendoli incomprensibili.

Ma non è prevista alcuna comunicazione nel caso in cui il titolare del trattamento abbia adottato tutte le misure necessarie a scongiurare un elevato rischio di ulteriori danni alle libertà e ai diritti degli interessati.

Valutazione del rischio

Per stabilire come agire di fronte ad un data breach occorre effettuare una valutazione del rischio, ovvero dei possibili danni causati sui diritti e le libertà delle persone, e proprio al fine di un’attenta valutazione del rischio vengono utilizzati dei parametri di riferimento.

I vari parametri comprendono la tipologia di violazione, o anche la facilità di identificazione degli utenti, ma anche la gravità delle conseguenze per gli interessati, particolarità degli interessati come ad esempio i minori, o anche il numero degli interessati.

Esistono diversi strumenti per poter effettuare la valutazione del rischio di distruzione o perdita dei dati personali, tutte molto attendibili e valide, e che durante la fase di comunicazione al garante dovranno essere indicate come metodologia seguita.

È possibile cercare di prevenire, gestire o risolvere la perdita o la distruzione dei dati personali adottando un protocollo di risposta, cercando di effettuare dei test periodici sull’affidabilità del protocollo di sicurezza adottato, affidandosi ad una copertura assicurativa in caso di data breach.

Oltre a dover tenere dei registri di tutti gli episodi registrati di data breach, e compiere un’indagine per individuarne la natura oltre che la portata dell’evento.

 

Author: Presi Fulvio

Mi piacciono gli smartphone, computer e videogiochi. Come hobby scrivo per GuideSmartPhone articoli basati principalmente sulla tecnologia. Spero di esservi stato d'aiuto!