adv

Lo scorso 25 maggio il GDPR ha iniziato ad esplicare i suoi effetti, purtroppo però numerose aziende italiane non sono riuscite ad adeguarsi in tempo alla normativa europea. Tra le problematiche che preoccupano di più imprenditori e liberi professionisti c’è il processo di data breach.

Cos’è il data breach e come fare per evitarlo?

Ogni violazione della sicurezza che comporti la distruzione, accidentale o in modo illecito, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, costituisce una violazione dei dati personali, detta anche data breach.

Per evitare possibili violazioni, le aziende devono valutare i fattori di rischio, in altre parole le circostanze che con maggior frequenza provocano una violazione, a cui possono essere soggetti i dati trattati e tenerli sotto controllo. Un espediente utile per raggiungere questo scopo potrebbe essere quello di creare un registro di data breach, nel quale annotare sia le effettive violazioni registrate dal sistema sia le potenziali minacce, in modo da identificare velocemente la natura ed il tipo di violazioni più ricorrenti. Sulla scorta di questo registro, l’azienda potrà mettere in atto specifiche procedure di sicurezza atte a contrastare ulteriori violazioni.

Inoltre, i Titolari di trattamento per evitare possibili data breach, dovrebbero regolarmente condurre dei test suoi protocolli di sicurezza utilizzati, al fine di verificare costantemente sia la loro efficacia che la loro implementazione nonché il livello di reattività del sistema in caso di effettivi problemi. Invero, i protocolli adottati devono prevedere, in caso di violazione, specifiche procedure da seguire per gestire ed ovviare ad incidenti che comportino un eventuale sottrazione e/o distruzione di dati. Alcune soluzioni possibili per risolvere i problemi derivati da un data breach possono essere ad esempio: l’offerta di un sistema di assistenza agli utenti o di sistemi di risoluzione dei casi di furto di identità.

Quali sono le possibili minacce informatiche per le aziende?

In ordine al furto dei dati esistono molti malware che in modi diversi acquisiscono i dati personali degli utenti senza alcun consenso da parte degli stessi come: gli spyware ed i Credential Reuse. Il primo si appropria dei dati personali (mail, password ecc…) del malcapitato per poi trasmetterli a soggetti terzi, i quali ne ricaveranno un profitto; il secondo invece mira alle credenziali di accesso degli account, il pericolo in questo tipo di attacco deriva dal fatto che molti utenti utilizzano le stesse credenziali su molti siti Web e servizi diversi e ciò permetterebbe a chi acquisisce tali dati di poter accedere a tutti questi servizi.

Altri tipi di minacce che non riguardano i dati direttamente ma attengono agli hardware che li utilizzano sono: i Ransomware, malware che infettano la macchina rendendo impossibile l’accesso ai dati in essa contenuti, l’unico modo per ripristinare i dati, in questo caso, è il pagamento di un riscatto; i Trojan horses o gli attacchi hacking entrambi utilizzati allo scopo di controllare il sistema infettato.

Quelli appena elencati sono solo alcune delle minacce che le aziende dovranno prevenire, per questo è consigliabile, che le stesse si dotino di esperti informatici in grado di risolvere tali problematiche.

Cosa fare in caso di data breach?

Il GDPR, ai sensi dell’art. 33, prescrive che in caso di violazione, la stessa debba essere comunicata all’autorità di controllo senza ritardo e quando possibile entro 72 ore dal momento della scoperta, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Un eventuale ritardo nella comunicazione della violazione dovrà essere opportunamente motivato. L’art. 33 del GDPR, inoltre, stabilisce anche gli elementi essenziali da inserire nella comunicazione all’autorità di controllo. In primis il titolare del trattamento dovrà descrivere la natura della violazione e nel caso sia possibile anche il numero degli interessati nonché le categorie e il numero di registrazioni colpite dalla violazione. Il Titolare del trattamento, ancora, dovrà delineare le probabili conseguenze derivanti dalla violazione e descrivere le misure già adottate o in procinto di essere adottate per attenuare i possibili effetti negativi. Infine, dovrà indicare tutti i dati necessari per contattare il responsabile della protezione dei dati.

La violazione, infine, dovrà essere notificata anche all’interessato, quando determini un rischio elevato per i suoi diritti e libertà fondamentali, al suo interno dovrà essere spiegare in modo semplice e chiaro la natura della stessa. Il Titolare del trattamento, invece, è esonerato da quest’obbligo quando: ha adottato misure di criptazione dati (ad esempio tramite cifratura) in modo da renderli inutilizzabili per coloro che non fossero autorizzati ad accedervi; oppure abbia già adottato misure idonee che eliminino i rischi più gravi per i diritti degli interessati; ultimo caso quando la comunicazioni personale richiederebbe sforzi sproporzionati per il titolare, il GDPR in tali circostanze prevede una comunicazione pubblica.

Come tutelare la propria azienda

I costi, derivanti da un data breach, possono essere veramente esorbitanti e proibitivi per una azienda, si pensi alle spese legali che l’impresa si troverebbe ad affrontare o a quelle di risarcimento per le conseguenze della violazione. Una possibile soluzione per le imprese, quindi, potrebbe essere quella di stipulare un’adeguata polizza assicurativa che compra tutti i danni derivanti da una violazione del sistema.

Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.