I data breach sono violazioni della sicurezza informatica che rappresentano una minaccia per i dati personali degli utenti. È possibile parlare di data breach nel caso in cui le informazioni sensibili vengano diffuse, alterate o distrutte, in maniera più o meno volontaria.
Il GDPR definisce delle indicazioni teoriche che permettono di organizzare le varie forme di violazione dei dati personali in categorie chiare. Allo stesso modo fornisce consigli su come prevenire il data breach: suggerimenti utili soprattutto alle aziende, che però possono venire utilizzati anche dai singoli utenti.
Allo stesso modo il regolamento generale per la protezione dei dati personali fornisce linee guida piuttosto precise sulle procedure da seguire nel caso in cui si verifichi un data breach. Le aziende sono chiamate a comunicare l’accaduto alle autorità competenti entro un limite di tempo piuttosto astringente.
In certi casi la comunicazione deve essere data anche agli utenti che potrebbero essere interessati alla violazione. Ma esistono delle eccezioni: ad esempio le aziende che ritengono un particolare data breach non pericoloso possono evitare la sua comunicazione.
Cosa dice il GDPR del data breach
Credits Shutterstock
Secondo il regolamento generale per la protezione dei dati personali GDPR il termine “data breach” può venire utilizzato per fare riferimento a diverse tipologie di violazione della sicurezza che hanno a che fare con informazioni private e sensibili.
Più precisamente per il GDPR il data breach è una violazione della sicurezza informatica, che porta all’accesso a dati personali. E, di conseguenza, alla loro alterazione, alla loro perdita o alla loro divulgazione.
Stando alle ultime linee guida fornite dallo European Data Protection Board le aziende sono obbligate a segnalare una qualsiasi forma di data breach subita entro e non oltre 72 ore. Ogni ritardo deve essere motivato e l’unica eccezione è rappresentata da quelle violazioni che non rappresentano un rischio per i diritti delle persone coinvolte.
Il tema dell’autovalutazione del rischio da parte delle aziende è potenzialmente critico. Non a caso il GDPR dispone un meccanismo di controllo e verifica, che può portare alla richiesta di accertamenti specifici. Soprattutto nel caso la valutazione di rischio dell’azienda non coincida con quella dei suoi utenti.
Detto ciò, tutti i data breach devono essere notificati all’autorità di controllo competente nella singola nazione di riferimento. In certi casi le aziende sono anche chiamate a informare le persone fisiche che potrebbero essere interessate dalla violazione.
Tipologie di data breach
Credits Shutterstock
Esistono tre macro-categorie di data breach, organizzate in base al tipo di criticità che si manifesta attorno ai dati personali: confidentiality breach, availability breach e integrity breach.
Il confidentiality breach è letteralmente una violazione della riservatezza. Questa tipologia di data breach si realizza nel momento in cui i dati personali dell’utente vengono diffusi senza le dovute autorizzazioni. Si parla di confidentiality breach anche nel caso in cui la divulgazione dei dati personali sia accidentale.
L’availability breach è una violazione della disponibilità. Questa tipologia di data breach si realizza nel momento in cui i dati personali dell’utente vengono persi o distrutti senza le dovute autorizzazioni. Si parla di availability breach anche nel caso in cui la perdita o la distruzione dei dati personali sia accidentale.
Infine l’integrity breach è una violazione dell’integrità. Questa tipologia di data breach si realizza nel momento in cui i dati personali dell’utente vengono alterati senza le dovute autorizzazioni. Si parla di integrity breach anche nel caso in cui l’alterazione dei dati personali sia accidentale.
Tutte le categorie di data breach di cui sopra impattano sulla sicurezza informatica degli utenti e possono avere un impatto molto forte sulla vita delle persone. Perdere il controllo dei dati personali può infatti portare a furti di identità online, ma anche a truffe di natura economica.
A ciò si aggiungono la perdita di riservatezza, che in certi casi può toccare informazioni protette dal segreto professionale. Per non parlare poi di tutti quei danni meno quantificabili, legati all’annullamento della privacy online e all’effetto che la diffusione di dati sensibili può avere sulla reputazione del singolo.
Come prevenire il data breach, come gestire le violazioni
Credits Shutterstock
Le attività da tenere in considerazione per imparare come prevenire il data breach riguardano soprattutto le aziende, che sono chiamate a interventi di monitoraggio costante dei loro sistemi. In questo modo hanno la possibilità di individuare falle e apportare correttivi prima che si verifichino problematiche di sorta.
Questo vale tanto tanto per la sicurezza informatica quanto per eventuali pratiche che potrebbero mettere a rischio la riservatezza, la disponibilità o l’integrità dei dati personali trattenuti all’interno di server o archivi.
Quanto all’utente, il primo consiglio per tutelare al meglio le proprie informazioni sensibili consiste nello studiare per lo meno i principi fondamentali del GDPR. Conoscere lo stato della regolamentazione permette infatti di scegliere soltanto quei fornitori o quei servizi che rispettano davvero la privacy online dei loro utenti.
A onor del vero il discorso della formazione e dell’aggiornamento costante è di vitale importanza anche e anzi soprattutto per le aziende e il loro personale. Più le risorse sono preparate sui temi della tutela dei dati personali, più è probabile che siano in grado di rispondere tempestivamente ai data breach.
Basti pensare che in certi casi la preparazione del personale porta alla creazione di una doppia manualistica, per prevenire o per gestire confidentiality breach, availability breach o integrity breach: istruzioni più specifiche o addirittura procedure complete da seguire nel momento in cui si verifichi una qualsiasi forma diviolazione della sicurezza informatica.
Anche in questo caso il compito spetta fondamentalmente alle aziende, ma l’utente può sempre richiedere informazioni in merito prima di mettere a disposizione i propri dati personali.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web