Game of databreach(es) - Atto Primo

 Quali sono le azioni da intraprendere in caso di data breach? Quali misure preventive adottare, invece?

Prima di approfondire è meglio rispondere ad una domanda essenziale, la prima della saga: cosa è un data breach?

L'art. 4 fornisce la seguente definizione:
violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; 
La definizione è integrata dall'art. 32 e il considerando n. 83 secondo cui, ai fini della valutazione di rischio e la predisposizione delle (contro)misure di sicurezza, di "tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale." elencando una serie di minacce che impattano con gli elementi fondamentali della sicurezza delle informazioni (ovverosia: confidenzialità, integrità e disponibilità).


Si può dunque definire data breach quell'evento di violazione dei dati personali  che va a compromettere la confidenzialità (accesso non autorizzato o diffusione), l'integrità (alterazione) o altrimenti la disponibilità (perdita di accesso o distruzione) del dato personale. Nell'insieme delle violazioni della sicurezza delle informazioni, il data breach è una parte in quanto riguarda solamente quelle violazioni di informazioni riferite direttamente o indirettamente ad una persona fisica (i.e. dati personali).

Ciò significa dunque che non tutte le violazioni della sicurezza delle informazioni siano (o debbano essere) un data breach. Ma questo non implica che vadano ignorate. Anzi, è bene che si svolga attività di reporting e azioni correttive su ogni violazione di sicurezza.

Ogni evento di data breach è certamente una violazione della sicurezza delle informazioni, ma differisce per la valutazione dell'incidente (e dunque del relativo programma di incident response). Quanto deve essere valutato, ai sensi del GDPR, non è la gravità dell'impatto dell'evento nei confronti degli asset aziendali, bensì della gravità delle conseguenze che possono derivare per l'interessato.

Ovviamente è possibile (e anzi: opportuno) valutare l'incidente anche, ad esempio, in considerazione dell'impatto sui Fattori Critici di Successo aziendali. Quanto richiede la norma è che infatti che l'incidente si deve valutare per l'impatto (potenziale o riscontrato) che ha nei confronti dei diritti e delle libertà fondamentali degli interessati ai fini della predisposizione delle misure di sicurezza e della procedura per la notifica all'Autorità (art. 33 GDPR) e la comunicazione degli interessati (art. 34 GDPR).

Tale impatto va valutato per l'idoneità alla produzione di un danno materiale o immateriale alle persone fisiche e il considerando n. 85 fornisce a tale proposito un elenco esemplificativo:
perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.
Come? Quando? 
La saga continua...

Essere GDPReady è...prima di tutto capire cosa è un data breach.

Commenti