Nuove linee guida 2023 per prevenzione Data Breach

L’incremento dei cyber attacchi è evidente e coinvolge tutto il mondo: sia per numero (+32%) sia per frequenza di eventi critici e ad alto impatto (+29%). L’Italia non è immune da questa ondata di criminalità informatica e infatti il 2021 ha visto una crescita vertiginosa degli attacchi malware e botnet, con un numero di server compromessi che fa segnare un netto +58%. Nel nostro Paese i settori più colpiti si confermano il Finance/Insurance e la Pubblica Amministrazione, obiettivi che insieme costituiscono circa il 50% dei casi. A questi si aggiunge però quello dell’Industria, il quale ha presentato l’aumento più significativo, dal 7% del 2020 al 18% del 2021.

In tali casi si parla di data breach, che l’art. 4 del GDPR definisce come una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.Al verificarsi di questa situazione è fondamentale, per l’azienda, agire in maniera adeguata e tempestiva al fine di evitare danni ulteriori che da esso potrebbero derivare (es.: furto di identità, perdite finanziarie, pregiudizio alla reputazione perdita di riservatezza di dati personali coperti da segreto professionale ecc…).

Punto di partenza imprescindibile al fine della migliore gestione di un data breach è l’avere conoscenza e piena contezza della violazione verificatasi. Il GDPR detta infatti la procedura che deve essere attuata in caso di violazione a partire dal momento in cui il titolare ha “consapevolezza” della violazione.

LE NUOVE LINEE GUIDA PER EVITARE UN DATA BREACH

A tal proposito le recentissime linee guida, adottate dall’European Data Protection Board (EDPB) in data 28 Marzo 2023, si prefiggono l’obiettivo di chiarire definitivamente cosa si intenda per “consapevolezza” del data breach. Viene specificato infatti che il titolare del trattamento acquisisce la consapevolezza della violazione quando sussiste un ragionevole grado di certezza che si sia verificata una violazione determinante la compromissione di dati personali.

Pregio delle nuove linee guida è anche quello di offrire un novero di casi volti ad inquadrare le possibili casistiche di data breach quali, a titolo esemplificativo, la ricezione di una mail da un cliente in cui questi comunica che è stato contattato da qualcuno che impersonava il titolare del trattamento e che verosimilmente ha avuto accesso ai dati del titolare stesso.

Secondo le nuove linee guida, sarà inoltre onere del titolare del trattamento quello di implementare misure tecniche ed organizzative di protezione in grado di assicurare la consapevolezza di ogni data breach in maniera tempestiva ed in modo tale da poter agire appropriatamente.

COSA FARE QUANDO SI VERIFICA UN DATA BREACH

Acquisita la consapevolezza della violazione subita, il titolare è poi tenuto a valutare il rischio che tale violazione comporti per i diritti e le libertà delle persone fisiche coinvolte dal trattamento dei dati. A seconda del grado del rischio il titolare dovrà infatti:

  1. Notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza di una violazione che presenti un rischio per i diritti e le libertà delle persone fisiche; oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo;
  2. Comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione di dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica;
  3. Limitarsi a compilare il Registro delle violazioni qualora la violazione subita non presenti alcun rischio per i diritti e le libertà dei soggetti coinvolti (es.: breve interruzione della fornitura di energia elettrica o compromissione di dati già pubblicamente disponibili).

Il Board suggerisce, al fine di vagliare la gravità del rischio, di prendere in considerazione la tipologia di violazione, la natura ed il volume dei dati trattati, le possibili conseguenze per le persone fisiche, le caratteristiche peculiari del titolare e degli interessati al trattamento ed il numero degli interessati coinvolti.

Nel caso in cui sorga l’obbligo di comunicazione del data breach all’autorità di controllo, le linee guida intervengono a disciplinare anche la prassi del c.d. “one stop shop”. Con tale termine si indica la possibilità di notificare la violazione dei dati alla sola autorità di controllo presso cui il titolare ha stabilito la propria rappresentanza, anche qualora tratti i dati in più paesi dell’Unione Europea.

Il Board precisa però che, nel caso in cui il titolare del trattamento non abbia uno stabilimento all’interno dell’UE, ma abbia solamente un mero rappresentante, il meccanismo one stop shop non può trovare applicazione sussistendo invece l’obbligo di notifica all’autorità garante di ogni stato membro UE i cui cittadini siano stati coinvolti nel data breach.

Per quanto riguarda l’obbligo di comunicazione agli interessati, le linee guida dell’EDPB precisano che tale comunicazione deve essere distinguibile dalle ordinarie comunicazioni effettuate dal titolare. Inoltre, deve essere effettuata con il mezzo di comunicazione in grado di garantire il maggior grado di diffusione e nella lingua già utilizzata nelle precedenti comunicazioni intercorse tra titolare ed interessato del trattamento.

È QUINDI FONDAMENTALE PER LE AZIENDE SVILUPPARE LA PROPRIA “RESILIENZA OPERATIVA” ATTRAVERSO LA CREAZIONE DI PROCESSI E SISTEMI IN GRADO DI ANTICIPARE E PREVENIRE LE MINACCE

anche attraverso l’individuazione delle vulnerabilità della propria organizzazione, al fine di garantire, in caso di attacco, una rapida ripresa dell’operatività con riduzione al minimo dei danni subiti. Il primo passo verso la “resilienza operativa” è il CYBER SECURITY ASSESSMENT: attività di verifica e di analisi della resilienza degli asset informatici aziendali e dell’adeguatezza dei controlli di sicurezza nei confronti delle minacce che i nostri specialisti effettuano seguendo la metodologia proposta dal Framework Nazionale per la Cybersecurity e la Data Protection (adottato dalla Direttiva NIS (UE) 2016/1148), ispirato  al Cyber Security Framework del NIST ed alla norma ISO:IEC 27001.

SCOPRI DI PIÙ

Avresti saputo come affrontare un data breach alla luce delle nuove linee guida dell’EDPB? I consulenti privacy sapranno offrirti la loro esperienza, competenza e professionalità per superare e, prima ancora, per scongiurare un data breach!

Chiamaci ora: 0541 1798723

Nuove linee guida 2023 per prevenzione Data Breach

L’incremento dei cyber attacchi è evidente e coinvolge tutto il mondo: sia per numero (+32%) sia per frequenza di eventi critici e ad alto impatto (+29%). L’Italia non è immune da questa ondata di criminalità informatica e infatti il 2021 ha visto una crescita vertiginosa degli attacchi malware e botnet, con un numero di server compromessi che fa segnare un netto +58%. Nel nostro Paese i settori più colpiti si confermano il Finance/Insurance e la Pubblica Amministrazione, obiettivi che insieme costituiscono circa il 50% dei casi. A questi si aggiunge però quello dell’Industria, il quale ha presentato l’aumento più significativo, dal 7% del 2020 al 18% del 2021.

In tali casi si parla di data breach, che l’art. 4 del GDPR definisce come una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.Al verificarsi di questa situazione è fondamentale, per l’azienda, agire in maniera adeguata e tempestiva al fine di evitare danni ulteriori che da esso potrebbero derivare (es.: furto di identità, perdite finanziarie, pregiudizio alla reputazione perdita di riservatezza di dati personali coperti da segreto professionale ecc…).

Punto di partenza imprescindibile al fine della migliore gestione di un data breach è l’avere conoscenza e piena contezza della violazione verificatasi. Il GDPR detta infatti la procedura che deve essere attuata in caso di violazione a partire dal momento in cui il titolare ha “consapevolezza” della violazione.

LE NUOVE LINEE GUIDA PER EVITARE UN DATA BREACH

A tal proposito le recentissime linee guida, adottate dall’European Data Protection Board (EDPB) in data 28 Marzo 2023, si prefiggono l’obiettivo di chiarire definitivamente cosa si intenda per “consapevolezza” del data breach. Viene specificato infatti che il titolare del trattamento acquisisce la consapevolezza della violazione quando sussiste un ragionevole grado di certezza che si sia verificata una violazione determinante la compromissione di dati personali.

Pregio delle nuove linee guida è anche quello di offrire un novero di casi volti ad inquadrare le possibili casistiche di data breach quali, a titolo esemplificativo, la ricezione di una mail da un cliente in cui questi comunica che è stato contattato da qualcuno che impersonava il titolare del trattamento e che verosimilmente ha avuto accesso ai dati del titolare stesso.

Secondo le nuove linee guida, sarà inoltre onere del titolare del trattamento quello di implementare misure tecniche ed organizzative di protezione in grado di assicurare la consapevolezza di ogni data breach in maniera tempestiva ed in modo tale da poter agire appropriatamente.

COSA FARE QUANDO SI VERIFICA UN DATA BREACH

Acquisita la consapevolezza della violazione subita, il titolare è poi tenuto a valutare il rischio che tale violazione comporti per i diritti e le libertà delle persone fisiche coinvolte dal trattamento dei dati. A seconda del grado del rischio il titolare dovrà infatti:

  1. Notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza di una violazione che presenti un rischio per i diritti e le libertà delle persone fisiche; oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo;
  2. Comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione di dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica;
  3. Limitarsi a compilare il Registro delle violazioni qualora la violazione subita non presenti alcun rischio per i diritti e le libertà dei soggetti coinvolti (es.: breve interruzione della fornitura di energia elettrica o compromissione di dati già pubblicamente disponibili).

Il Board suggerisce, al fine di vagliare la gravità del rischio, di prendere in considerazione la tipologia di violazione, la natura ed il volume dei dati trattati, le possibili conseguenze per le persone fisiche, le caratteristiche peculiari del titolare e degli interessati al trattamento ed il numero degli interessati coinvolti.

Nel caso in cui sorga l’obbligo di comunicazione del data breach all’autorità di controllo, le linee guida intervengono a disciplinare anche la prassi del c.d. “one stop shop”. Con tale termine si indica la possibilità di notificare la violazione dei dati alla sola autorità di controllo presso cui il titolare ha stabilito la propria rappresentanza, anche qualora tratti i dati in più paesi dell’Unione Europea.

Il Board precisa però che, nel caso in cui il titolare del trattamento non abbia uno stabilimento all’interno dell’UE, ma abbia solamente un mero rappresentante, il meccanismo one stop shop non può trovare applicazione sussistendo invece l’obbligo di notifica all’autorità garante di ogni stato membro UE i cui cittadini siano stati coinvolti nel data breach.

Per quanto riguarda l’obbligo di comunicazione agli interessati, le linee guida dell’EDPB precisano che tale comunicazione deve essere distinguibile dalle ordinarie comunicazioni effettuate dal titolare. Inoltre, deve essere effettuata con il mezzo di comunicazione in grado di garantire il maggior grado di diffusione e nella lingua già utilizzata nelle precedenti comunicazioni intercorse tra titolare ed interessato del trattamento.

È QUINDI FONDAMENTALE PER LE AZIENDE SVILUPPARE LA PROPRIA “RESILIENZA OPERATIVA” ATTRAVERSO LA CREAZIONE DI PROCESSI E SISTEMI IN GRADO DI ANTICIPARE E PREVENIRE LE MINACCE

anche attraverso l’individuazione delle vulnerabilità della propria organizzazione, al fine di garantire, in caso di attacco, una rapida ripresa dell’operatività con riduzione al minimo dei danni subiti. Il primo passo verso la “resilienza operativa” è il CYBER SECURITY ASSESSMENT: attività di verifica e di analisi della resilienza degli asset informatici aziendali e dell’adeguatezza dei controlli di sicurezza nei confronti delle minacce che i nostri specialisti effettuano seguendo la metodologia proposta dal Framework Nazionale per la Cybersecurity e la Data Protection (adottato dalla Direttiva NIS (UE) 2016/1148), ispirato  al Cyber Security Framework del NIST ed alla norma ISO:IEC 27001.

SCOPRI DI PIÙ

Avresti saputo come affrontare un data breach alla luce delle nuove linee guida dell’EDPB? I consulenti privacy sapranno offrirti la loro esperienza, competenza e professionalità per superare e, prima ancora, per scongiurare un data breach!

Chiamaci ora: 0541 1798723