Cos’è il Data Breach
Il data breach è la violazione di dati sensibili personali e si verifica quando uno o più di questi viene in possesso di soggetti non autorizzati.
La violazione può comprendere l’accesso, la divulgazione, la perdita, la modifica o la distruzione.
Ad oggi i casi (fortunatamente non tanti) avvenuti in Italia e Europa non sono stati oggetto di attenzione da parte dei mass media, ma ci sono stati e con la rivoluzione digitale che stiamo attraversando, nei prossimi anni gli hacker potrebbero veramente rappresentare una minaccia.
Ad ogni modo è bene ricordare che il mezzo informatico non è l’unico in cui può avvenire una violazione, potrebbero verificarsi anche altri casi, come ad esempio lo smarrimento di una chiavetta USB con contenuti riservati, furto di un notebook, incendio nel caso della distruzione o danneggiamento, comportamento scorretto di un dipendente che ha accesso a tali dati e interesse a cederli a terzi o comunque a divulgarli.
Cosa fare in caso di violazione
Il GDPR prevede che il titolare del trattamento debba comunicare al Garante della Privacy entro 72 ore da quando ne è venuto a conoscenza, la violazione.
Questo non vale nei casi in cui tale accesso non comporti per certo, in nessun modo un rischio.
La comunicazione deve avvenire tramite un modello apposito che si trova sul sito del Garante e deve essere compilato on line.
Il modello è composto da diverse sezioni in cui si dovranno inserire i dati del titolare del trattamento, di colui che sta effettuando la notifica, la descrizione dettagliata di ciò che è accaduto, una valutazione dei rischi che si corrono e le eventuali misure adottate in seguito e la comunicazione ai soggetti interessati.
Come prevenire il data breach
È indispensabile ai fini della prevenzione effettuare una precisa valutazione dei rischi.
Nel caso della Pubblica Amministrazione occorre munirsi di un registro nel quale registrare in modo preciso tutti i Data Breach subiti, così come previsto dall’articolo 33 del GDPR.
I dipendenti devono essere opportunamente formati sull’argomento. Per cui organizzare corsi di formazione continua, convegni e introdurre una policy aziendale.
Nella nostra era il rischio più frequente è la violazione tramite sistemi informatici come abbiamo detto, per cui, per quanto riguarda tali strumenti è opportuno avere un ottimo antivirus e software sempre aggiornati, modificare periodicamente le password di accesso ai sistemi ai propri dipendenti, in particolare quelle di default che vengono fornite per alcuni software per il primo accesso, registrare qualsiasi azione effettuata sugli accessi ai dati sensibili, assegnando a ciascuno utente un ID univoco.
