Cos’è il data breach?

data breachCon il termine data breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Solitamente il data breach si realizza con una divulgazione di dati riservati o confidenziali all’interno di un ambiente privo di misure di sicurezze (da esempio, su web) in maniera involontaria o volontaria. Tale divulgazione può avvenire in seguito a:

    • perdita accidentale: ad esempio, data breach causato da smarrimento di una chiavetta USB contenente dati riservati
    • furto: ad esempio, data breach causato da furto di un notebook contenente dati confidenziali
    • infedeltà aziendale: ad esempio, data breach causato da una persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia distribuita in ambiente pubblico
    • accesso abusivo: ad esempio, data breach causato da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite

Esempi di violazioni di data breach

violazioni data breachI dati violati con un data breach possono riguardare gli ambiti:

      • finanziario, ad esempio dati di carte di credito, di conti correnti…
      • sanitario, ad esempio informazioni sulla salute personale, malattie…
      • proprietà industriale, ad esempio segreti commerciali, brevetti, documentazione riservata, lista clienti, progetti finalizzati ad esempio a pratiche di concorrenza sleale
      • personali, ad esempio dati di documenti di identità, codici personali…

Il data breach nell’ordinamento giuridico italiano ed europeo

Con il Provvedimento del Garante per la Protezione dei Dati Personali in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) del 4 aprile 2013, pubblicato sulla Gazzetta Ufficiale n. 97 del 4 aprile 2013, il Garante ha dato attuazione alla direttiva europea 2009/136/CE – che ha modificato, in parte, la direttiva 2002/58/CE – sulla privacy nel settore delle comunicazioni elettroniche.

Il Garante ha così introdotto l’obbligo di avvisare l’autorità e gli utenti in caso di gravi violazioni a seguito di attacchi informatici o di eventi avversi (ad esempio incendi) che possano comportare la perdita, la distruzione o la diffusione indebita di dati.

In capo ai titolari dei trattamenti vige l’obbligo di condurre una preliminare ricognizione dei dati trattati e dei rischi ai quali sono soggetti cui dovrà seguire l’adozione di idonee misure di sicurezza.

La comunicazione della violazione al Garante deve avvenire in tempi molto rapidi e nei casi più gravi di violazioni è previsto l’obbligo di informare ciascun contraente coinvolto. La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendano inintelligibili i dati.

Per consentire l’attività di accertamento del Garante, occorre tenere un elenco aggiornato delle violazioni subite, con il dettaglio delle circostanze e delle conseguenze. L’inventario deve adottare misure che ne garantiscano integrità ed immodificabilità.

Adempimenti previsti in caso di data breach

data breach garanteIn caso di violazione dei dati personali, il Garante ha adottato una serie di provvedimenti che prevedono l’obbligo di comunicazione. In caso di attacchi informatici, accessi abusivi, incidenti o eventi avversi (come ad esempio incendi) che determinano perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati, le aziende e la pubblica amministrazione deve operare come di seguito illustrato:

      • Data breach in società telefoniche e Internet Service Provider: obbligo di comunicazione entro 24 ore dalla scoperta dell’evento, fornire al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione. Inoltre è previsto l’obbligo di informare ciascun utente coinvolto entro 3 giorni dalla scoperta comunicando gli elementi previsti dal Regolamento 611/2013 e dal provvedimento del Garante n. 161 del 4 aprile 2013. La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati.
      • Data breach su sistemi biometrici: obbligo di comunicare entro 24 ore dalla conoscenza del fatto, con comunicazione tramite apposito modello di tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi.
      • Data breach su dossier sanitario elettronico: obbligo di comunicare entro 48 ore dalla conoscenza del fatto, con comunicazione tramite apposito modello tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario.
      • Data breach per le amministrazioni pubbliche: obbligo di comunicare entro 48 ore dalla conoscenza del fatto, con comunicazione tramite apposito modello tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati.

Come prevenire data breach

La prevenzione di data breach passa dunque dalla valutazione dei rischi e dalla definizione di misure di tipo tecnologico e organizzativo.

Ad esempio, lo standard ISO 27040 si occupa di storage security e indica alcune linee guida per evitare che si verifichino episodi di data breach. In particolare fornisce una panoramica sui concetti di sicurezza dello storage con linee guida sugli aspetti di minacce, vulnerabilità e controlli associati a scenari di archiviazione tipici e alle aree di tecnologia di archiviazione. Inoltre, fornisce riferimenti ad altri standard internazionali su pratiche applicabili alla sicurezza di archiviazione.

BIT4LAW è in grado di offrire la propria consulenza per un audit finalizzato la valutazione dei rischi, l’individuazione di soluzioni tecnologiche migliorative, la definizione di policy per il personale, la creazione di un team di incident response per reagire agli incidenti laddove dovessero verificarsi.