Data breach: definizione e gestione di una violazione dei dati personali

Aggiornamento: 23 giu

Il Regolamento Europeo 2016/679 (GDPR) in materia di protezione di dati personali lo definisce “una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.


Siamo portati a pensare che un data breach possa essere causato esclusivamente da una persona malintenzionata esterna all’azienda, come un hacker; tuttavia, molte delle violazioni sono causate da un errore umano, come ad esempio la trasmissione o il deposito di un file in un luogo non sicuro o da comportamenti scorretti di dipendenti e collaboratori.


Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Ecco alcuni possibili esempi:

  • L’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

  • Il furto o la perdita di dispositivi informatici contenenti dati personali;

  • La deliberata alterazione di dati personali;

  • L’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware;

  • La perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

  • La divulgazione non autorizzata dei dati personali.


Che cosa fare in caso di Data Breach?


L’analisi del breach deve permettere una valutazione del rischio effettivo di diffusione del dato, anche in funzione delle misure di sicurezza adottate, della tipologia dei dati trattati e del grado di identificabilità delle eventuali persone fisiche coinvolte. Da questa stima ne consegue la definizione delle priorità di azione.


Un valido processo di valutazione del data breach si articola nelle seguenti fasi:

  • Individuare e definire una scala di valori di criticità in relazione alle differenti tipologie di dati raccolti o trattati dalle infrastrutture IT aziendali;

  • Individuare i punti di vulnerabilità a cui sono esposti i dati;

  • Valutare il rischio e l’impatto del data breach in relazione alle misure di sicurezza adottate;

  • Avviare le azioni di risposta in funzione del tipo di data breach subito e degli investimenti necessari per l’impiego delle risorse necessarie;

  • Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali. Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. Per un approfondimento rimandiamo alle linee guida GDPD.

Un utile supporto nella valutazione è fornito anche dal documento della European Union Agency for Network and Information Security (ENISA) “Recommendations for a methodology of the assessment of severity of personal data breaches, 2013.”


L’ENISA ha messo inoltre a disposizione degli utenti un tool per la notificazione da parte dei titolari alle competenti autorità di controllo. Lo scopo di ENISA è quello di aiutare l’UE e i paesi membri dell’UE ad essere adeguatamente preparati a prevenire, rilevare e reagire ai problemi di sicurezza dell’informazione.


Come evitare un Data Breach con prevenzione e monitoraggio


Training e formazione

Vi è la necessità di creare all’interno dell’azienda un livello di formazione e consapevolezza adeguati tra le persone autorizzate al trattamento e prevedere un processo di segnalazione specifico al gruppo designato per la procedura di data breach da parte dei dipendenti e dei processor.


La formazione deve essere approfondita attraverso corsi di aggiornamenti periodici, policy sul trattamento dei dati personali adeguati e sulle modalità di utilizzo della strumentazione informatica. La consapevolezza invece deve essere trasmessa tramite un forte impegno dei vertici aziendali nelle attività di trattamento e quindi nella volontà da parte del Titolare del trattamento di far adottare nei processi aziendali i principi di privacy-by-default e privacy-by-design ai sensi del GDPR.


Controllo dei log

Le vulnerabilità dei sistemi informatici possono derivare dall’utilizzo di molte piattaforme tra loro diverse, seguite da uno scarso monitoraggio per l’analisi dei log rispetto al tempo a disposizione. Il log, termine informatico, è un file costituito da un elenco cronologico delle attività svolte da un sistema operativo, da un database o da altri programmi, generato per permettere una successiva verifica.


La gestione dei log è fondamentale per tutte le aziende, che utilizzano tanti server, applicazioni, strumenti e programmi, per avere un controllo sempre più veloce ed aggiornato. Attraverso i log si individua sempre una traccia; infatti, chi cerca di violare i sistemi lascia traccia dei propri movimenti, soprattutto quando chi attacca i sistemi informatici cerca di attaccare più sistemi. L’attività di monitoraggio dei log produce, quindi, informazioni utili per l’azienda sotto molteplici profili perché può servire a determinare se un problema è da considerare effettivamente una vulnerabilità; migliorare l’analisi, la riproduzione e la risoluzione di problemi; aiutare a testare nuove caratteristiche dei sistemi in una fase di sviluppo.


Monitoraggio degli endpoint

Un altro aspetto fondamentale, ma poco tenuto in considerazione dalle imprese, è il monitoraggio degli endpoint tramite uno specifico programma. Per endpoint si intende ogni dispositivo che si collega con la rete locale: personal computer, portatili, dispositivi mobili e quelli connessi. A maggior ragione data la politica di smart working che ha portato diversi dipendenti delle imprese a lavorare da casa con i propri dispositivi di proprietà.


#cybersecurity #approfondimenti