data breach

Cosa fare in caso di data breach: istruzioni per le PMI

Negli ultimi tempi sono sempre più frequenti i casi di data breach. Ovvero attacchi informatici alle aziende, che possono mettere gravemente a rischio la sicurezza dei dati personali trattati.

I dati aziendali sono uno degli asset più preziosi per le piccole e medie imprese (PMI), ma la minaccia dei data breach è sempre presente. Quando si tratta della sicurezza dei dati, la prevenzione è fondamentale, ma è altrettanto importante sapere come reagire in caso di incidente.

In questo articolo, esploreremo le misure che le PMI possono adottare per affrontare le violazioni dei dati in modo tempestivo ed efficace.

Cosa si intende per data breach 

Il termine data breach si riferisce ad un evento in cui informazioni sensibili o riservate divengono accessibili, divulgate e/o compromesse in modo non autorizzato. In parole semplici, si verifica quando dati sensibili finiscono nelle mani di persone non autorizzate o vengono resi disponibili al pubblico senza l’approvazione del proprietario dei dati. 

Il legislatore da una definizione chiara di che cosa si intende per data breach.

Secondo il GDPR (art. 4, n. 12) la violazione di dati personali è “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il riferimento è, dunque, a qualsiasi violazione che può compromettere la riservatezza, l’integrità o la disponibilità dei dati personali ed aziendali. 

Esistono diverse tipologie di incidenti riguardanti dati personali e dati aziendali, che possono derivare da atti illeciti o accidentali. Ecco di seguito alcuni esempi:

  • Perdita di dati: ad esempio lo smarrimento di una chiavetta USB contenente dei dati riservati o la cancellazione involontaria e irreparabile di dati personali.
  • Furto di dati: ad esempio il furto di un notebook contenente dati confidenziali o un accesso illecito al sistema informatico.
  • Indisponibilità dei dati: causata, ad esempio, a seguito dell’esecuzione di un ransomware che limita l’accesso ai dati salvati su server o client, cifrandoli.
  • Alterazione dei dati: ad esempio, quando un dipendente infedele modifica deliberatamente e senza autorizzazione dati personali (e non solo) con l’obiettivo di creare un danno all’azienda;
  • Divulgazione dei dati: quando ad esempio un hacker, mediante accesso abusivo al sistema informatico dell’azienda, sottrae e divulga dati personali.

Cosa fare quando si verifica un data theft in una PMI

In caso di violazione dei dati personali, la prima cosa che una PMI deve fare è gestire l’incidente nel modo più efficiente e accurato possibile, agendo immediatamente per rafforzare le difese in modo da evitare ulteriori perdite e mettere al riparo i dati da altri rischi di sicurezza evitando danni maggiori.

Subito dopo, deve passare alla comunicazione di violazione al Garante. Secondo le direttive fornite dal GDPR in questi casi, si deve procedere alla notifica dell’eventuale violazione del trattamento dei dati personali . La comunicazionedeve avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si è venuti a conoscenza della violazione.

Il Titolare del trattamento dati deve quindi riferire il fatto e deve sporgere una denuncia scritta in cui devono obbligatoriamente comparire:

  • dinamica dell’evento;
  • tipo di dati coinvolti, quantificazione (anche indicativa) degli interessati colpiti dalla violazione;
  • dati di contatto del titolare del trattamento o di un soggetto similare presente in azienda;
  • misure attuate a seguito dell’attacco.

Inoltre, se la violazione comporta un rischio particolarmente elevato per i diritti delle persone, in base a quanto stabilito dall’art. 34 del Regolamento UE 2016/679, il titolare del trattamento dati deve comunicare la circostanza a tutti gli interessati. La comunicazione della violazione dei dati all’interessato deve descrivere la natura della violazione dei dati personali e deve essere inviata utilizzando i canali più idonei a raggiungere lo scopo (ad es. SMS, email…).

A prescindere dalla notifica al Garante ed agli interessati, le PMI sono tenute a documentare tutte le violazioni dei dati personali predisponendo un apposito registro che deve essere conservato e reso disponibile all’autorità per eventuali ispezioni.

Istruzioni per le PMI per prevenire un data breach

L’articolo 32, comma 1 del Regolamento Generale sulla Protezione dei Dati (GDPR) è una risorsa fondamentale per le imprese che desiderano garantire una protezione adeguata dei dati e prevenire i data breach. Questo articolo richiede alle organizzazioni di implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato rispetto ai rischi presenti.

Ecco come le PMI possono integrare le disposizioni dell’articolo 32 del GDPR nelle loro strategie di prevenzione dei data breach:

  1. Analisi dei Rischi e Valutazione dell’Impatto:
    • GDPR: L’articolo 32 del GDPR richiede alle organizzazioni di effettuare un’analisi dei rischi e una valutazione dell’impatto sulla protezione dei dati personali. Le PMI dovrebbero identificare le potenziali minacce e valutare come queste minacce potrebbero influire sulla sicurezza dei dati.
  2. Sicurezza Tecnica, Fisica e Controlli di Accesso:
    • Misure tecniche e accesso ai Dati: L’articolo 32, comma D1stabilisce anche che le aziende si debbano dotare di un sistema, come un data breach software, che permetta di verificare che i loro sistemi di sicurezza dei dati personali stiano funzionando correttamente oltre ad adottare misure come il controllo degli accessi fisici e la sicurezza dei dispositivi per prevenire il furto o la perdita fisica di dati.
  3. Miglioramenti Continui e Aggiornamenti:
    • Aggiornamenti Software: L’implementazione di aggiornamenti regolari del software è essenziale per mantenere al sicuro i sistemi e correggere eventuali vulnerabilità di sicurezza.
  4. Piano di Risposta a Incidenti:
    • Preparazione a Incidenti: L’articolo 32 del GDPR sottolinea l’importanza di una risposta tempestiva agli incidenti. Le PMI dovrebbero sviluppare e testare regolarmente un piano di risposta a incidenti, coinvolgendo tutte le parti interessate.
  5. Collaborazione con Esperti di Sicurezza:
    • Consulenza Esterna: Il coinvolgimento di esperti di sicurezza informatica può essere considerato un requisito essenziale per mantenere la conformità con l’articolo 32 del GDPR e per garantire una protezione avanzata dei dati.

Integrare queste misure nel contesto dell’articolo 32 del GDPR non solo aiuta le PMI a prevenire i data breach, ma dimostra anche un impegno concreto verso la protezione dei dati personali, contribuendo così a mantenere la conformità con le normative sulla privacy.