Una delle novità più significative introdotte dal nuovo Regolamento UE 2016/679 sulla Protezione dei dati (GDPR) consiste nell’obbligo di comunicare al Garante Privacy i casi di Data Breach, ovvero tutte le violazioni in grado di comportare la perdita, distruzione o diffusione indebita dei dati personali trattati. A tale proposito, è stato introdotto dall’articolo 33 l’obbligo generalizzato, in capo al titolare del trattamento, di notifica di Data Breach, senza ingiustificato ritardo, all’autorità di controllo competente qualora tale violazioni comporti un elevato rischio per i diritti e le libertà degli interessati (come abbiamo approfondito sull’articolo riguardo il Data Breach).

Fase preliminare: analizzare il livello di rischio

Nel Regolamento UE 2016/679 (GDPR) l’analisi del rischio ha un ruolo fondamentale: diventa lo strumento atto a dimostrare l’adeguatezza delle misure implementate a tutela dei dati personali trattati. Il GDPR non indica quali siano le linee guida per proteggere le informazioni, ma chiede ai titolari di essere in grado di dimostrarne l’accurata protezione. Analizzare il livello del rischio è la fase di maggior importanza in quanto, se ben affrontata, consente di reagire e mitigare le conseguenze del Data Breach con la massima efficienza. Investire in prevenzione significa ridurre il rischio di costi sproporzionati conseguenti i danni prodotti dalla violazione subita in azienda e per far ciò è necessario tenere ben presente che un processo di Data Breach deve essere preceduto da un’analisi delle vulnerabilità del proprio sistema IT, unico modo per capire dove l’azienda può incorrere con maggiore rischio nella violazione di dati. Si tratta, nella pratica, di simulare un attacco da parte di un hacker e lavorare sui piani di Remediation successivi.

risk-analysis

È necessario, quindi, costituire un processo per la valutazione delle violazioni, tenendo presente le tre macro-categorie di Data Breach delineate dal WP-29:

  • Confidentiality Breach, in caso di accesso accidentale e/o abusivo ai dati personali;
  • Availibility Breach, se vi è una perdita e/o distruzione accidentale o non autorizzata di dati personali;
  • Integrity Breach, se siamo in presenza di alterazioni accidentali o non autorizzate dei dati personali.

Tale processo dovrà consentire una valutazione del rischio effettivo a cui sono esposti i dati personali, e quindi degli impatti nel caso si verificasse una particolare violazione, calcolato in base alle misure di sicurezza adottate sui sistemi, tipologia dei dati trattati ed il livello di identificabilità della clientela. Tramite questi risultati potranno essere definite le priorità di interventi di comunicazione e mitigazione. Viene definito il Risk Appetite (propensione al rischio), ossia quanto l’azienda è disposta a ad esporsi all’impatto del realizzarsi di una minaccia. Definito il risk appetite, viene attribuito ad ogni minaccia il suo grado di probabilità potenziale di realizzarsi e qual è l’impatto che il rischio avrebbe sull’organizzazione in termini di riservatezza, integrità e disponibilità. Appurato ciò, il rischio viene riclassificato per verificare se l’impatto residuo è accettabile; nel caso in cui non lo sia, va pianificata una strategia tesa a mitigare il rischio fino a renderlo accettabile.

L’analisi della corretta valutazione dei possibili rischi consente al titolare di individuare con prontezza adeguate misure per contenere o eliminare l’intrusione e di valutare la necessità di attivare le procedure di comunicazione e di notifica. Tale analisi, come richiama il GDPR, va svolta nell’ottica dell’interessato e non in quella del titolare del trattamento. Accertato il livello di rischio, il titolare del trattamento sarà in grado di determinare la necessità o meno di eseguire la notifica all’autorità e la comunicazione agli individui interessati.

Come gestire un Data Breach? Il processo per una corretta analisi e gestione del rischio

Per prevenire, gestire e risolvere episodi di perdita e/o distruzione dei dati personali è necessario:

  • Adottare un protocollo di risposta;
  • Effettuare test periodici per controllare la validità del protocollo;
  • Ottenere una copertura assicurativa per eventuali casi di Data Breach;
  • Tenere un registro di tutti i casi, avvenuti o potenziali, di Data Breach;
  • Compiere attività di indagine per individuare la natura e la portata della violazione;
  • Il protocollo di risposta.

Il Titolare del trattamento deve adottare un protocollo di risposta, ossia procedure da seguire per gestire e risolvere eventuali episodi di distruzione e/o perdita di dati. L’adozione del protocollo coinvolge numerosi dipartimenti aziendali e dovrà indicare un modo coerente, sistematico e proattivo per gestire questi incidenti che coinvolgono i dati personali. Al fine di prevenire una violazione di Data Breach è necessario utilizzare un modello di sicurezza informatica strutturato e prevedere degli strumenti di prevenzione che proteggano la riservatezza, l’autenticità e l’integrità delle informazioni accertandosi che le attività di progetto e supporto alle attività siano condotte in modo sicuro per mantenere la sicurezza del software e dei dati del sistema. Inoltre, è necessario garantire una continuità operativa (Business Continuity) e neutralizzare le interruzioni alle attività dovute dagli effetti dei guasti; è altresì importante effettuare regolarmente dei test periodici di verifica del protocollo adottato per garantire che le procedure seguite dall’Azienda per prevenire e risolvere casi di Data Breach siano efficienti e condotte da personale formato adeguatamente per implementare il protocollo. Importante è anche stipulare un’adeguata polizza assicurativa per assicurare l’azienda contro il rischio di violazione di dati.

Altra cosa importante da farsi è tracciare i casi di Data Breach. Il tracciamento dei casi di violazione dei dati personali viene effettuato allo scopo di: individuare e tenere sotto controllo i fattori di rischio più frequenti; misurare l’efficacia delle policy e delle procedure adottate; elaborare un piano di conformità che fissi gli obiettivi da raggiungere per essere Compliant rispetto al GDPR e che aiuti a dimostrare la conformità in caso di audit di verifica e/o ispezione.

Per prevenire, gestire e risolvere episodi di perdita e/o distruzione dei dati personali, l’azienda può decidere di effettuare al proprio interno delle attività di indagine per: individuare la natura e la portata della violazione; aiutare a prevenire ulteriori perdite di dati; conservare le prove della violazione in modo che possano essere usate anche in un’eventuale azione giudiziaria.

Iscriviti alla nostra newsletter e rimani sempre aggiornato sul GDPR.

Categorie: GDPR

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *