Data breach: definizione, casi pratici e sanzioni
La violazione di sicurezza – data breach
Il Regolamento UE 2016/679 in materia di protezione dei dati personali (GDPR) definisce data breach “Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4, c. 12).
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali così come è accaduto nei due casi più eclatanti finora noti alle cronache: il caso Marriot e il caso British Airways.
La catena alberghiera americana Marriot è stata sotto attacco informatico sin dal 2014 ma la falla nel sistema di sicurezza è stata scoperta e resa nota, solo a settembre del 2018. L’evento ha colpito 500 milioni di clienti del gruppo Marriott.
Anche il caso British Airways ha interessato il mondo del turismo: sono state intercettate circa 380.000 transazioni finanziarie e contenenti numeri di carte di credito, nomi e indirizzi dei clienti, compreso il codice di sicurezza usato per potere eseguire ulteriori operazioni future.
Le tempistiche con cui la compagnia aerea ha informato dell’avvenuto data breach non sono chiare, poiché sembra che il l’attacco sia durato oltre due settimane (dal 21 agosto al 5 settembre 2018) prima che l’azienda se ne rendesse conto.
A termini di GDPR le aziende (Società telefoniche e Internet provider) hanno 72 ore, da quando se ne accorgono, per analizzare e comunicare al Garante un data breach, ovvero qualora i dati esposti possano ledere i diritti degli interessati, siano leggibili e non si sia di fronte ad attacchi multipli.
Le informazioni contenute nella comunicazione devono permettere di comprendere i rischi e proteggere i dati dell’interessato
Il Garante per la Privacy italiano nel provvedimento del n. 106 del 30 aprile 2019 adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica (Italiaonline S.p.a.) ha sottolineato che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.
La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi.
La decisione è stata presa dall’Autorità nell’ambito del procedimento sopraddetto, avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.
Dall’inizio dell’applicazione del GDPR 25 maggio 2018 al 31 marzo 2019 le notifiche di data breach al Garante italiano sono state 946 e sono in aumento anche i provvedimenti sanzionatori delle autorità garanti nazionali.
[/av_textblock]
Le sanzioni previste in caso di Data Breach
Nel caso in cui le Pubbliche Amministrazioni o le imprese non rispettino gli obblighi previsti dal regolamento in materia di Data Breach, il Regolamento GDPR prevede sanzioni pecuniarie fino a 10.000.000 euro o per le imprese fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
In particolare, sono previste le seguenti sanzioni amministrative:
- in caso di mancata o ritardata comunicazione al Garante: da 25mila a 150mila euro;
- in caso di omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata;
- in caso di mancata tenuta dell’inventario delle violazioni aggiornato: da 20mila a 120mila euro.
Nel caso già citato di British Airways ad esempio, la compagnia aerea rischia una sanzione fino a 500 milioni di sterline (560 milioni di euro) che è il 4% del fatturato aziendale 2017.
Considerata l’importanza e la dimensione di queste sanzioni è estremamente importante che le aziende comprendano la necessità di avere un supporto a tutto tondo come quello offerto da Nord Pas. I nostri tecnici possiedono competenze multidisciplinari e possono svolgere il ruolo di Data Protection Officer (DPO).
Inoltre, il nostro software Q-81 HSE WEB APP può essere utilizzato per costruire il Registro dei Trattamenti con il “Modulo Valutazione Rischi e Opportunità” oppure per registrare gli audit periodici del sistema di gestione della privacy con il modulo “Gestione Audit e Checklist“.
Il modulo “Documentale” può essere utilizzato per gestire le informative e i consensi e con lo strumento delle revisioni l’azienda è certa di avere sempre a disposizione degli utenti dell’informativa più recente ed aggiornata.
La registrazione della formazione erogata al personale coinvolto nel trattamento dei dati può essere facilmente tracciata con il modulo “Gestione della Formazione” il quale permetterà anche di evidenziare rapidamente le esigenze formative anche in tema per i nuovi assunti o cambi di ruolo.
Infine, in caso di data breach, l’azienda dovrà documentare e gestire, come nel caso sopraccitato ed indagato dal garante, le azioni che mette in atto per tutelare e proteggere i diritti degli interessati: il modulo “Segnalazioni, Non conformità e Azioni” è lo strumento ideale per questa funzione.