Data breach, nuove norme sulla violazione dei dati.
Con l’entrata in vigore del regolamento GDPR, è divenuta obbligatoria, da parte delle aziende, la denuncia di attacco informatico con violazione dei dati personali
L’art. 4 la definisce come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”
Quando fare una denuncia di attacco informatico?
La comunicazione di avvenuta violazione dei dati dovrà avvenire possibilmente senza ingiustificato ritardo. Ove possibile, entro 72 ore dal momento in cui si è venuto a conoscenza della violazione. A meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo dovrà essere motivato.
Da notare che viene citata la perdita o distruzione dei dati anche con eventi accidentali, che non sono riconducibili ad attacchi informatici ma anche ad eventi come terremoti, incendi, inondazioni o anche la semplice perdita di una chiavetta USB dove siano stati archiviati dati personali ad esempio di clienti.
Come comunicare la notifica di data breach?
Ecco i passi da seguire:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
- descrivere le probabili conseguenze delle violazioni dei dati personali
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.
Sicuramente non è una passeggiata, e ci sono anche altre componenti da tenere in considerazione che qui non vengono trattate.
Come non perdere dati personali e prevenire
Per prima cosa, affidarsi a una azienda che ti possa guidare a livello giuridico e amministrativo per il corretto trattamento dei dati.
Fondamentale è dotarsi di una infrastruttura informatica che offra garanzie di sicurezza prevenendo sia l’intrusione fraudolenta che la perdita accidentale, ad esempio crittografando i dati sensibili e non solo.
Dotarsi di una copertura assicurativa specifica per i casi di data breach, visto che le sanzioni arrivano fino al 4% del fatturato.
Adottare un protocollo di risposta, poiché 72 ore sono poche se non si sa bene cosa sia necessario fare.
Una scocciatura?
Probabile, ma questo ha fatto emergere il problema della sicurezza informatica che fino ad oggi era poco sentito e che con le continue notizie di violazioni, anche a danno di aziende importanti e note, sta facendo facendo correre ai ripari le imprese italiane ed europee.
Dove iniziare?
Sicuramente l’azione principale da fare è quella di proteggere i dati da un eventuale furto e la capacità di ripristino in caso di violazioni che non solo rubano i dati ma li criptano o li distruggono.
1 commento