Il Data Breach: un pericolo dietro l’angolo!
Il Data breach è l’espressione con cui si indica una violazione – intenzionale o accidentale – di dati. La violazione può implicare perdita e/o furto di dati, deterioramento delle funzionalità e della correttezza delle risposte.
Se la violazione riguarda i dati personali, il deterioramento delle funzionalità può essere accompagnato da un danno materiale o immateriale per le persone fisiche, ad esempio la limitazione dei diritti della persona, la discriminazione, il furto d’identità, le perdite finanziarie.
Definizione di data breach
Il Regolamento UE 2016/679, all’articolo 4, ne dà una definizione: “è la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“.
Il data reach viene associato usualmente a eventi traumatici causati da varie forme di hackeraggio o da azioni dolose. Un esempio di violazione è un virus che danneggia i dati locali o su server o un malware che trasmette altrove i dati riservati di carte di credito. Altri esempio sono, ivece, un phishing che ruba credenziali bancarie o un ransomware che chiede un riscatto pena la cifratura forzata dei dati e la loro definitiva perdita. Lo studio “2018 Data Breach Investigations Report”, pubblicato da Verizon, dice che una delle principali cause di data breach sono gli errori umani, collegabili a preparazione insufficiente e comportamento colposamente o dolosamente sbagliato.
E’ evidente, quindi, che un data breach non è un evento remoto; si tratta invece di un incidente, prevalentemente informatico, le cui conseguenze possono essere lievi, medie o gravi.
Gestione dei breach
Il Regolamento UE 2016/679, negli articoli 33 e 34, richiede che il Titolare del trattamento notifichi la violazione dei dati personali all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore da quando ne è venuto a conoscenza. Inoltre, se la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche, deve essere comunicata senza indugio anche all’interessato.
Il breach è perciò un evento che deve essere gestito con competenza perché una violazione può provocare danni materiali e di immagine. Solo la professionalità del Titolare del trattamento, in collaborazione con il DPO -se nominato- o in alternativa con il Consulente Privacy, può ridurne l’impatto e, se possibile, trasformarlo in un’opportunità di miglioramento. Nel seguente articolo trovi un approfondimento sul DPO.
In questa ottica i consulenti della DPPRO possono dare risposte e soluzioni alle aziende supportandole nella definizione del processo interno di gestione del breach.
Per qualsiasi richiesta d’informazioni non esitare a contattarci!