Il 14 gennaio 2021 sono state pubblicata dalla EDPB le“Guidelines 01/2021 on examples regarding Data Breach Notification” che si pongono in condizione di continuità ed integrazione rispetto alle precedenti pubblicate nel 2016.
Queste nuove Linee guida effettuano una disamina di “precedenti” in materia di Data Breach.
Come è noto, il Gruppo di lavoro art. 29 aveva già prodotto una guida generale sul tema analizzando le sezioni rilevanti del GDPR.
L’esigenza di introdurre un nuovo documento nasce dal riconoscimento che le predette Linee Guida, già approvate, non hanno affrontato questioni pratiche in modo dettagliato.
Il documento fornisce un supporto pratico ai Titolari del trattamento per gestire correttamente i Data Breach indicando:
- Un inventario di rischi più comuni: ransomware (un malware che cripta i dati personale per poi richiedere al titolare del trattamento un riscatto in cambio del codice di decriptazione), esfiltrazione di dati (attacchi cyber che sfruttano le vulnerabilità nei servizi erogati dal titolare del trattamento a terzi sul web), errore umano, perdita di documenti cartacei, errori legati all’utilizzo della posta elettronica per terminare col social engineering;
- Un elenco di fattori necessari per procedere ad una corretta valutazione del rischio;
- Una lista di misure tecniche per prevenire e ridurre le conseguenze della fuga di dati.
Le Linee Guida sono chiare nell’indicare che le lacune di sicurezza devono essere individuate dal Titolare del trattamento e affrontate in tempi celeri, poiché è noto che il Titolare è tenuto sempre ad adottare idonee misure di sicurezza al fine di scongiurare incidenti impattanti sui dati.
In particolare, le Linee Guida indicano come causa frequente di violazione dei dati, gli attacchi Ransomwere, solitamente subiti dal Responsabile del Trattamento dati. In questi casi, le violazioni possono essere prevenute garantendo un'adeguata sicurezza organizzativa, fisica e tecnologica, come la corretta gestione delle patch e l'uso di un adeguato sistema di rilevamento anti-malware.
Avere un backup adeguato e separato, per esempio, aiuterà a mitigare le conseguenze di un attacco riuscito se dovesse verificarsi. Inoltre, un'istruzione e formazione sulla sicurezza dei dipendenti, aiuterà a prevenire questo tipo di attacco ed è peraltro fondamentale ai fini di una maggiore sensibilizzazione sul tema.
Altresì, le Linee Guida indicano di particolare importanza la cifratura dei dati personali poiché detta misura di sicurezza impedirebbe, a chi li acquisisce in modo fraudolento, di prendere visione di informazioni riservate. Oltre alla cifratura, a titolo esemplificativo vengono riportate misure quali:
- Mantenere aggiornato il sistema (software e firmware);
- Garantire che tutte le misure di sicurezza IT siano efficaci e regolarmente aggiornate;
- Usufruire di metodi di autenticazione forte come autenticazione a due fattori e server di autenticazione;
- Password in costante aggiornamento;
- Revisioni e test regolari per garantire che i backup possano essere utilizzati per ripristinare tutti i dati la cui integrità o la disponibilità è stata influenzata.
Con particolare riguardo all’errore umano, quale fattore di rischio per la sicurezza dei dati personali, le Linee Guida considerano, quale atteggiamento prodromico preventivo, un approccio sistematico. Infatti viene evidenziato come poco possa fare il controller dopo che l’errore in parola si è verificato.
Altresì, un altro frequente caso di violazione dei dati si rinviene nel caso dello smarrimento o di furto di dispositivi portatili.
In questi casi, il Responsabile del Trattamento deve prendere in considerazione tutte le circostanze del caso come, ad esempio, il tipo di dati memorizzati sul dispositivo, le risorse di supporto e le misure adottate prima della violazione per garantire un livello adeguato di sicurezza. Tutti questi elementi influiscono sui potenziali impatti della violazione dei dati.