Cosa facciamoGDPRSicurezza informatica

CorsoDPO – Data Breach

La prima lezione del fine settimana è tenuta dall’ingegner Elena Tabet ed è incentrata sul data breach, uno degli elementi che ha acquistato enfasi nel nuovo regolamento europeo.

Il data breach è definito come:

la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati

quindi non riguarda solo un evento doloso ma anche una violazione accidentale (es. perdita dei dati).

Per definire il data breach il Garante considera anche gli attacchi di hacker white hat ed eventuali segnalazioni preventive.
Di fatto non serve che il data breach si verifichi realmente se sono note le possibilità che si verifichi.

Compiti del titolare rispetto al data breach

Il titolare, nell’ambito delle sue responsabilità, deve documentare con continuità l’implementazione di buone prassi aggiornate.
Partendo dal’assunto che nessun sistema è sicuro al 100%, il titolare dovrà adoperarsi per mettere in campo e documentare le scelte di protezione dei dati che man mano applica.
Mantenendo informazioni documentate (e qui mi rifaccio alla terminologia delle norme sui sistemi di gestione come ISO/IEC 27001) può dimostrare, in caso di violazione, di aver messo in atto tutto quanto in suo potere per evitare la violazione o minimizzarne gli effetti.

Sarebbe opportuno che il titolare inserisca nel contratto di affidamento al responsabile sia le misure cui questi deve attenersi, sia le modalità di comunicazione di eventuali data breach.

Compiti del responsabile

Il responsabile deve seguire le indicazioni del titolare sia per quanto riguarda la protezione dei dati, sia per la comunicazione.

Il responsabile deve inoltre comunicare il prima possibile eventuali violazioni al titolare, con le modalità fornite dal contratto.

Altre informazioni

Il tempo di 72 ore per la notifica al Garante scatta da quando il titolare viene a conoscenza del data breach.

Non è ancora stato predisposto un modulo per la notifica anche se sarà simile a quanto già pubblicato per altri tipi di violazioni.
L’indicazione fornita è che la notifica venga spedita il prima possibile anche se non del tutto completa.
Il completamento delle informazioni può avvenire in fasi successive nel dialogo con il Garante.
Ritengo anche in questo caso importante sottolineare che per poter fare una notifica corretta è fondamentale partire dai dati contenuti nel registro dei trattamenti!

Potrebbe essere utile anche procedere alla DPIA dato che l’impatto e la gravità della violazione sarebbero immediatamente riscontrabili.

E’ questo è uno dei motivi per cui i tempi di notifica sono così stretti: per spingere i titolari a interaprendere correttamente la strada dell’accountabilty.
Se infatti si ha il quadro preciso e completo dei trattamenti in essere diventa decisamente molto più facile la procedura di scoperta e comunicazione del data breach.

Un ulteriore consiglio è quello di documentare al proprio interno i data breach che si sono risolti senza impatti e quindi non comunicati al Garante (es. smarrimento di una chiavetta USB con dati criptati).
L’analisi dello storico dei data breach che comprende anche questi dati può infatti far emergere aspetti o criticità che in caso contrario potrebbero essere non considerate.

Conclusioni

Visto il programma mi aspettavo una lezione pià pratica e approfondita.

Dovrò prepararmi quindi meglio da solo in questo senso, provvedendo a aggiornare in seguito le informazioni sul sito.