Gli errori che portano a una violazione dei dati si manifestano spesso come eventi quotidiani e banali: un'email con file sensibili inviata al destinatario sbagliato, un collaboratore che fotografa documenti personali con il telefono, un commerciale che utilizza un proprio Google Drive per salvare informazioni aziendali sensibili. Queste condotte apparentemente innocue sono, in realtà, violazioni di dati personali che richiedono la stessa attenzione e preparazione di qualsiasi altro incidente informatico, come ad esempio un attacco hacker.
La natura del data breach invisibile
I cosiddetti "data breach invisibili" non seguono il modello tradizionale di attacco esterno sofisticato. Questi incidenti si sviluppano all’interno delle organizzazioni e non sono sempre riconosciuti come gravi violazioni di sicurezza. Ciò che differenzia questi incidenti è l’insidiosità dell’evento: un fornitore con accesso non autorizzato ai sistemi aziendali, un tirocinante che copia un database, un videoconcessore che esporre dati di sistema a soggetti terzi. Se non opportunamente rilevati e gestiti, questi incidenti possono costare all’azienda in termini di sanzioni, danni reputazionali, e risarcimenti.
I vantaggi di un piano proattivo per la sicurezza informatica sono evidenti. In assenza di un piano, l’azienda correrà rischi non solo legali, ma anche finanziari e di credibilità.
La definizione di violazione di dati personali
Articolo 4, paragrafo 12 del Regolamento (UE) 2016/679 definisce rigorosamente una violazione di dati personali come qualsiasi incidente che comporti la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali. L’ambito di applicazione di questa norma è ampio, non distingue tra origine interna ed esterna del danno e non richiede un utilizzo malevolo diretto da parte di un terzo estraneo.
Implicazioni operative del GDPR
Il GDPR impone che una violazione di dati venga rilevata, documentata, valutata in termini di rischio e, quando necessario, notificata all’Autorità Garante per la protezione dei dati (Garante Privacy) entro 72 ore dal momento in cui l’organizzazione ne è a conoscenza. Il termine per la notifica non è legato alla conferma certa del danno, ma al momento in cui l’organizzazione ha una sufficiente certezza del verificarsi dell'incidente.
La comunicazione agli interessati
Nel caso in cui la violazione risulti probabile o significativa per i diritti e le libertà delle persone fisiche, l’organizzazione è tenuta a comunicare l’incidente direttamente agli interessati coinvolti entro tempi ragionevoli. Questo, a meno che non siano soddisfatti determinati criteri eccezionali: ad esempio, quando il documento è cifrato, o quando sono state applicate misure correttive tali da azzerare il rischio.
Classificazione delle violazioni
Secondo le Linee guida dell’EDPB (European Data Protection Board), esistono tre principali tipi di violazione:
- Violazione di disponibilità: quando i dati non sono accessibili agli utenti autorizzati per un periodo significativo, ad esempio nel caso di un attacco ransomware;
- Violazione di integrità: quando i dati vengono modificati senza autorizzazione;
- Violazione di riservatezza: quando i dati sensibili vengono divulgati a soggetti non autorizzati.
Queste classificazioni non sono solo teoriche: influenzano direttamente la risposta dell’organizzazione e la necessità di notifiche ufficiali ai regolatori.
Procedure per la gestione di un incidente
In tutti i casi di sospetto incidente, le organizzazioni dovrebbero seguire un piano operativo ben definito:
- Ora 0: segnalazione dell’incidente al responsabile IT o al DPO;
- Entro 2 ore: avvio dell'analisi per comprendere la natura dell’evento;
- Entro 24 ore: valutazione iniziale del rischio;
- Entro 48 ore: decisione finale sulla notifica;
- Entro 72 ore: invio ufficiale alla Garante Privacy.
In caso di informazioni non complete all’inizio del processo, è accettabile effettuare una notifica iniziale parziale, specificando che l’indagine è ancora in corso.
Comunicazione agli interessati
Quando una violazione presenta un rischio elevato per i dati personali, l'organizzazione deve comunicare l'incidente agli interessati. La comunicazione dovrebbe:
- Descrivere chiaramente la natura della violazione;
- Indicare i contatti del DPO o del responsabile della privacy;
- Elencare le probabili conseguenze;
- Evidenziare le misure adottate;
- Fornire indicazioni utili all’interessato, come cambiare password o bloccare carte di credito.
Evitare linguaggi tecnici, burocratici o minimizzanti, in quanto potrebbero essere interpretati come mancanza di trasparenza o di serietà del problema.
Violazioni frequenti nella pratica
La tipologia più comune di violazione riguarda l'invio accidentale di informazioni sensibili a destinatari non autorizzati. Ad esempio, un dipendente potrebbe inviare per errore una busta paga a un cliente esterno. La Linee guida dell’EDPB affermano che, in presenza di dati particolari come quelli sanitarini o della categoria art. 9 GDPR, la notifica al Garante è probabilmente obbligatoria. Se invece l’email vede come destinatario un soggetto interno e i dati vengono immediatamente rimossi con conferma scritta, il rischio potrebbe essere giudicato basso e registrabile senza notifica.
Prevenzione e misure operative
Le misure preventive sono fondamentali:
- Configurare il client di posta con un ritardo di 30-60 secondi per permettere il richiamo di messaggi non confermati;
- Attivare avvisi automatici di indirizzo esterno per messaggi destinati a soggetti esterni;
- Vietare contrattualmente l'invio non cifrato di dati sensibili;
- Implementare Data Loss Prevention (DLP) per intercettare file contenenti informazioni come codici fiscali.
Altro scenario ricorrente riguarda l’accesso non autorizzato da parte di un dipendente a dati sensibili, come ad esempio quelli di un collega, un ex coniuge, un cliente VIP. La violazione di riservatezza può risultare da log di accesso insufficienti, l’assenza di sistemi SIEM, o la mancanza di procedure di incident management.
← Torna alle news