L’episodio della Data Breach
La data breach, nella realtà, corrisponde ad un episodio di violazione dei dati personali custoditi e protetti dal titolare. Si immagini ad esempio ad un’azienda che ha il suo database clienti con tutti i relativi dati personali. Se questo database viene violato e magari copiato per un successivo utilizzo dei dati (a scopo fraudolento o comunque per motivi che non hanno a che fare con le finalità per le quali i dati sono stati raccolti) allora siamo nel caso dell’episodio della data breach.
I pericoli nella valutazione dei rischi
I pericoli della data breach devono essere individuati già in fase di valutazione dei rischi. Le misure di tipo tecnico come la protezione dei database con cifratura e password, sono essenziali. Anche le misure di tipo organizzativo sono importantissime. Il lavoro che viene svolto che può avere influenza sui dati personali deve essere rigorosamente schematizzato attraverso una chiara individuazione di chi possiede password per accedere ai dati o a porzioni di dati.
Navigazione in rete e Log Management
Gli accessi ai dati non possono essere indiscriminati. Gli autorizzati non possono poter fare tutto sul database, il loro accesso deve essere disciplinato in maniera chiara e rimanere sotto la lente vigile di un software di rete che permette di registrare qualunque operazione grazie all’impiego di software di Log Management.
A tele riguardo è importante ricordare che il software di log management, software che permette di rilasile a tutte le operazioni compiute, è previsto dal Provvedimento del Garante sull’Amministratore di Sistema. Anche le operzazioni compiute dall’amministratore di sistema devono essere registrate in maniera tale da poter ricostruire eventuali responsabilità in caso di data breach.
Comportamento successivo all’episodio
In questi casi il titolare del trattamento deve darne comunicazione ufficiale al Garante e agli interessati entro 72 ore dalla scoperta dell’evento (che deve essere dimostrabile), e comunque “senza ingiustificato ritardo”.
Se la violazione dei dati personali viene effettuata da un trattamento effettuato da un responsabile del trattamento, le 72 ore decorrono dal momento in cui il titolare viene informato dal responsabile.
Nel caso si manifesti la violazione di dati personali, le linee guida, sulla base dell’art. 34, ricordano che devono sempre essere privilegiate modalità di comunicazione diretta con i soggetti interessati (quali email, SMS o messaggi diretti).
LE FASI DELLA PROCEDURA DI DATA BREACH
-
Rilevare la violazione dei dati personali
-
Esaminare se la violazione rilevata comporta rischi per i diritti individuali e le libertà dell’interessato
-
Notificare al Garante la violazione dei dati avvenuta
-
Comunicare agli interessati la violazione dei dati avvenuta