Punti chiave
Se la tua azienda è stata colpita da un Data Breach la priorità assoluta è sapere esattamente cosa fare. In questa guida, ti spiegheremo cosa si intende per data breach, quali sono i dati considerati sensibili dalla legge e come notificarli alle autorità in regola con la normativa GDPR.
Inoltre, i consigli per avvisare i tuoi clienti/utenti, sia dal punto di vista tecnico legale che sotto l’aspetto reputazionale.
Cos’è un Data Breach secondo il GDPR?
Secondo l’Information Commissioners Office (ICO), molte organizzazioni fraintendono il significato di data breach, che deve essere ufficialmente segnalato ai sensi del regolamento generale sulla protezione dei dati (GDPR).
La “segnalazione eccessiva” da parte delle imprese è quindi abbastanza comune e spesso guidata dal desiderio di essere trasparenti, al fine di evitare il rischio di possibili sanzioni.
Secondo il regolamento generale sulla protezione dei dati, una violazione dei dati personali è “una violazione della sicurezza che comporta distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato a dati personali trasmessi, archiviati o altrimenti elaborati” (articolo 4). , definizione 12).
Le violazioni dei dati possono variare nella loro gravità e in quanto tali non tutte le violazioni personali che rientrano nella definizione di cui sopra devono essere segnalate.
La parte cruciale, che definisce se l’azione debba essere intrapresa o meno, è se una violazione possa “comportare un rischio per i diritti e le libertà delle persone fisiche” (articolo 33).
Ma cosa significa questo in pratica?
La chiave per comprendere la soglia di segnalazione delle violazioni si trova in realtà nel considerando 85 del GDPR, che afferma:
“Una violazione dei dati personali può, se non affrontata in maniera appropriata e tempestiva, provocare danni fisici, materiali o immateriali a persone fisiche quali perdita del controllo sui propri dati personali o limitazione dei loro diritti, discriminazione, furto d’identità o frode, perdita finanziaria, inversione non autorizzata di pseudonimizzazione, danno alla reputazione, perdita di riservatezza dei dati personali protetti dal segreto professionale o qualsiasi altro significativo svantaggio economico o sociale per la persona fisica interessata. ”
Per aiutare a decidere se segnalare le violazioni, è consigliabile valutarle singolarmente caso per caso.
Va considerato che alcune violazioni dei dati personali possono non solo essere un problema per coloro che hanno bisogno dei dati per svolgere il proprio lavoro, ma possono provocare danni emotivi, fisici e materiali.
A questo punto, vale anche la pena notare che, qualora l’azienda dovesse subìre una violazione e decidere che questa non va segnalata , si è comunque tenuti a documentare formalmente la giustificazione di tale decisione.
Esempi di data breach da segnalare o meno al Garante
Esempio di violazioni dei dati personali GDPR che devono essere segnalate all’ICO e alle persone interessate:
• Un hacker che scopre dati e accessi alle carte di credito
• Un errore del sistema che permette ai clienti di visualizzare i dettagli di altri clienti
• Un membro del personale che copia i dati dei clienti su una penna USB e comunica i dati a terzi
• Un dipendente insoddisfatto che perde i dati del libro paga di centinaia di dipendenti dell’azienda
• La divulgazione di record sanitari riservati dei pazienti a una società di terze parti autorizzata
Hai il sospetto che siano stati violati dei dati della tua azienda?
Chiedi ai nostri esperti, verifichiamo la situazione e ti aiutiamo con autorità e clienti
Esempio di violazioni dei dati personali GDPR che è improbabile che debbano essere segnalate all’ICO
• Un incendio che causa la perdita di documenti cartacei, se l’unica copia dei dati viene conservata su carta
• La perdita o l’alterazione inappropriata di un elenco telefonico ad uso del personale
• Un disco rigido accidentalmente cancellato che contiene l’unica copia dei dati dei clienti
Esempio di violazioni dei dati personali GDPR che devono essere segnalate all’ICO, ma non alle persone coinvolte:
• Un hacker accede ai dati personali dei clienti ma i dati sono stati crittografati
• Un laptop contenente dati personali viene lasciato su un treno ma il disco rigido del portatile è crittografato
Tipologie di data breach e violazioni di dati
Secondo il Gruppo di lavoro 29, le violazioni dei dati possono essere classificate in una dei seguenti:
- Violazione della riservatezza – in caso di divulgazione o accesso non autorizzato o accidentale ai dati personali.
- Violazione dell’integrità – in caso di alterazione non autorizzata o accidentale dei dati personali.
- Violazione della disponibilità – in caso di perdita accidentale o non autorizzata di accesso o distruzione di dati personali
Naturalmente, data la situazione, una violazione potrebbe riguardare anche più casi allo stesso tempo.
Entro quanto tempo bisogna segnalare un data breach?
Secondo l’ICO, molte organizzazioni sono anche incerte sulle loro responsabilità in merito alla segnalazione delle violazioni.
Il GDPR afferma che le organizzazioni devono disporre di controlli adeguati per rilevare violazioni personali e riferire ad un’autorità competente entro 72 ore (articolo 33).
Un errore che molte aziende fanno tuttavia è quello di ritenere che il periodo di segnalazione obbligatorio sia di 72 ore di lavoro. In realtà, si tratta di 72 ore dal “momento in cui la violazione viene scoperta“.
Ora, la definizione “scoperta” si presta ad innumerevoli interpretazioni. Ma in linea generale, nel momento in cui si sospetta un data breach e si avviano dei controlli e delle analisi per verificarlo, si può considerare il titolare ancora esente dalla necessità di notifica.
Quando al titolare giungono delle prove che confermano il data breach, anche se magari non sono ancora noti i dettagli o l’entità del danno, scatta l’obbligo di notifica.
Quali informazioni devono essere riportate al Garante?
L’incapacità di fornire tutte le informazioni richieste dall’ICO è un altro errore in cui incorrono spesso le aziende che segnalano violazioni, suggerendo che molte sono mal preparate o non dispongono delle competenze e / o capacità tecniche sufficienti per fornire molti dei dettagli richiesti.
Prima di segnalare una violazione, anche telefonicamente, vale la pena leggere il modulo di segnalazione dei dati personali di ICO che specifica le informazioni necessarie. Tra cui:
• Il tipo, la natura e la causa della violazione
• Quando la violazione è avvenuta ed è stata scoperta
• Categorie di dati personali inclusi nella violazione
• Numero di persone coinvolte
• Impatto e conseguenze delle violazioni
• Tempo di recupero della violazione stimato
• Azioni su come affrontare gli effetti della violazione
Anche se potrebbe non essere possibile fornire tutte le informazioni richieste entro 72 ore, l’ICO si aspetta che le organizzazioni dimostrino di dare la priorità alle indagini sulle violazioni e si impegnino a fornire dettagli critici entro un periodo di tempo concordato.
Un esempio di segnalazione corretta
Un piccolo esempio di corretta segnalazione al Garante dopo un data breach potrebbe essere:
- Analisi situazionale: Fornisci il maggior contesto possibile, incluso il danno iniziale (cosa è successo), come ha influito sulla tua organizzazione (cosa è andato storto) e cosa lo ha causato (come è successo).
- Valutazione dei dati interessati: accertare le categorie di dati personali e il numero di record interessati.
- Descrizione dell’impatto: descrivere le conseguenze della violazione per le parti interessate. Ciò dipenderà dalle informazioni che sono state compromesse.
- Rapporto sulla formazione e la sensibilizzazione del personale: se la violazione è stata il risultato di un errore umano, il / i dipendente / i coinvolto / i hanno ricevuto una formazione sulla protezione dei dati negli ultimi due anni? Fornire dettagli sul programma di formazione per la consapevolezza del personale.
- Misure e azioni preventive: quali misure avete adottato prima della violazione per prevenire incidenti come questo? Quali passi hai intrapreso, o hai intenzione di intraprendere, per mitigare il danno?
- Supervisione: fornire i dettagli di contatto del DPO (responsabile della protezione dei dati) o della persona responsabile della protezione dei dati.
Come notificare e informare i diretti interessati?
Se una violazione può rappresentare un rischio elevato per il benessere di un individuo, è necessario informarlo il prima possibile.
Gli interessati dovrebbero essere informati via e-mail o inviando una lettera di avviso sul sito ufficiale della società. Nella lettera di notifica, una società dovrebbe:
- Spiegare la portata della violazione, compresi i tipi di dati compromessi e il numero di individui colpiti;
- Informare le persone sullo svolgimento delle indagini;
- Fornire agli utenti le raccomandazioni su come proteggersi dalle conseguenze della violazione
Nei casi più gravi, le aziende dovrebbero informare le persone direttamente e al più presto, anche prima dell’autorità di regolamentazione competente. Questo vale soprattutto per la violazione di dati finanziari.
In definitiva, quando si informano i clienti, le società dovrebbero basare tutte le decisioni sui loro interessi.
È fondamentale spiegare in dettaglio cosa è successo e cosa intende fare il gruppo per minimizzare l’impatto negativo.
E’ bene consigliare ai clienti di cambiare le loro password e di evitare l’apertura di e-mail sospette e di fare clic su link sospetti.
In caso di compromissione dei dati delle carte di pagamento, le organizzazioni dovrebbero anche raccomandare ai propri clienti di monitorare tutti i loro account, per rilevare eventuali attività sospette in tempo utile per contattare la propria banca.
Aziende di alto profilo come Uber, Yahoo! e eBay hanno sbagliato nel modo di informare i loro utenti.
In tutti e tre i casi, le organizzazioni erano a conoscenza dei loro rispettivi incidenti di sicurezza molto prima che decidessero di denunciarli, peggiorando ulteriormente la situazione.
Nell’era del GDPR, un comportamento simile potrebbe comportare una multa molto salata. Al fine di evitare le sanzioni, le aziende devono avere il controllo sui propri dati, compresa una chiara visione delle attività interne nell’ambiente IT e una conoscenza dettagliata di dove risiedono i dati sensibili e di chi ha accesso a questi, nonché un piano completo e testato per rispondere a una violazione.
Quali sono le conseguenze di una mancata segnalazione o inadempimento?
Secondo il GDPR, le aziende non possono permettersi errori per ignoranza.
La mancata comunicazione all’ICO di una violazione dei dati personali potrebbe comportare il ricevimento di una sanzione fino a 10 milioni di euro o il 2% del fatturato globale.
Questa multa può essere combinata con gli altri poteri dell’ICO ai sensi dell’articolo 58, che comportano una sanzione massima di 20 milioni di euro o del 4% del fatturato globale.
Quando si è esenti dall’obbligo di notifica?
In alcuni casi, anche se è necessario notificare la violazione al Garante, ci si può esimere dalla comunicazione ai diretti interessati. Ad esempio, non è necessario quando:
- E’ stata utilizzata la crittografia, il che dimostra ancora una volta l’amore che il GDPR nutre per la crittografia.
- Si è corso il rischio di violazione dei dati personali , ma il responsabile del trattamento dei dati ha fatto ciò che doveva essere fatto per scongiurare il verificarsi dell’evento
- Lo sforzo di informare tutti i soggetti interessati sarebbe troppo alto o, diciamo, sproporzionato. Ovvero, in caso di un modesto problema, inviare milioni di mail ai propri clienti è considerato “costo sproporzionato”. In questi casi si possono attuare altre forme di comunicazione altrettanto efficaci. Potrebbe essere una comunicazione sul proprio sito web, per esempio.
Il chiarimento del Garante della Privacy
Il Garante della Privacy italiano, ha diramato una infografica che spiega in maniera molto efficace cosa viene inteso come comportamento obbligatorio.