Data breach e relazione annuale del Garante Privacy: cosa sappiamo?
Quanti data breach sono stati segnalati al Garante Privacy nel 2019 e da parte di chi?
Nel 2019 sono pervenute al Garante Privacy 1.443 notifiche di data breach che hanno riguardato:
- soggetti pubblici (nel 27% dei casi); e
- soggetti privati (nel restante 73%).
Quali sono state le tipologie di data breach più frequenti?
Le tipologie di data breach più frequenti hanno riguardato:
- attacchi informatici volti all’acquisizione di dati personali (quali credenziali di accesso, dati relativi a strumenti di pagamento, dati di contatto);
- accesso non autorizzato a caselle di posta elettronica (ordinaria e certificata);
- perdita o indisponibilità di dati personali causata da malware di tipo ransomware;
- smarrimento o furto di dispositivi digitali o documenti cartacei contenenti dati personali;
- comunicazione o diffusione accidentale di dati personali.
Quali sono state le valutazioni oggetto dell’attività istruttoria post data breach?
Le attività istruttorie svolte dal Garante Privacy a seguito della notifica di data breach hanno avuto come obiettivo prioritario:
- la valutazione delle misure adottate dal titolare del trattamento (o che lo stesso intendeva adottare) per porre rimedio alla violazione dei dati personali o per attenuarne i possibili effetti negativi per gli interessati; nonché
- la valutazione della necessità di effettuare la comunicazione dell’avvenuta violazione agli interessati, fornendo loro indicazioni specifiche sulle misure da adottare per proteggersi da eventuali conseguenze pregiudizievoli.
Cosa è successo nei casi in cui sono emerse inadeguatezze delle misure adottate?
Nei casi in cui il data breach ha messo in luce una possibile inadeguatezza delle misure adottate dal titolare, il Garante Privacy ha avviato l’attività ispettiva per acquisire gli elementi necessari a individuare le lacune organizzative e tecniche da cui hanno avuto origine le violazioni notificate. Tale attività di approfondimento ha portato all’adozione da parte del Garante Privacy di alcuni provvedimenti collegiali di tipo prescrittivo e, nei casi più gravi, sanzionatorio.
Cosa fare per non trovarsi impreparati in caso di data breach?
Al fine di non trovarsi impreparati di fronte ad un possibile data breach si suggerisce di:
- predisporre e adottare una policy per la gestione del data breach;
- sensibilizzare il personale circa tale tematica anche con corsi di formazione;
- nonché redigere e tenere aggiornato un registro delle violazioni.