10 Esempi di Data Breach con notifica e commento

No Comments

Ai sensi degli artt. 33 – 34 del Regolamento UE 2016/679 in caso di violazione dei dati personali è obbligatorio darne comunicazione all’autorità nazionale (Garante della Privacy in Italia) ed eventualmente agli interessati entro 72h nel caso in cui ci fosse un alto rischio dovuto alla sensibilità dei dati esfiltrati.

Ma quando devo o non devo fare la comunicazione di violazione dei dati?

A questo quesito fondamentale è stata data una parziale risposta dalle linee guida europee pubblicate il 3 ottobre 2017.

Per la comunicazione al garante potete usare il modello di comunicazione di violazione di dati personali

Ecco alcuni esempi commentati di violazione

  1.  Un supporto (cd/dvd/cassetta/ecc.) contenente un backup criptato con dati personali viene perso o rubato.
    • – Comunicazione al Garante: No.
    • – Comunicazione agli interessati: No.
    • – Commento: Se i dati vengono crittografati con un algoritmo di ultima generazione, esistono dei backup dei dati e la chiave privata non è compromessa, non è necessario notificare la violazione. Tuttavia, se venisse compromessa anche successivamente, la notifica diverrà necessaria.
  2. Durante un cyber-attacco al sito web vengono rubati dati personali.
    • – Comunicazione al Garante: Sì, la notifica è necessaria in caso di potenziali danni ai soggetti interessati.
    • – Comunicazione agli interessati: Sì, la notifica dipende dalla natura dei dati violati e se è alto il livello di gravità dei potenziali danni.
    • – Commento: Se il rischio non è elevato, consigliamo al titolare del trattamento di informare l’interessato, a seconda delle circostanze del caso. Ad esempio, la notifica potrebbe non essere necessaria in caso di violazione della riservatezza per una newsletter relativa ad un programma televisivo, mentre la notifica può essere richiesta se questa newsletter può portare a conoscenza del punto di vista politico del soggetto interessato.
  3. Una breve interruzione dell’alimentazione del call center del titolare del trattamento, che comporta l’impossibilità dei clienti di chiamare il titolare del trattamento e di accedere ai propri dati.
    • – Comunicazione al Garante: No.
    • – Comunicazione agli interessati: No.
    • – Commento: Questa non è una violazione dei dati personali da notificare, ma solo un incidente di cui tenere nota ai sensi dell’art. 33, paragrafo 5.
      Il titolare del trattamento dovrà redigere un apposito registro.
  4. Un titolare del trattamento subisce un attacco ransomware che causa la crittografia di tutti i dati. Nessun back-up è disponibile e i dati non possono essere ripristinati. Al momento dell’indagine, risulta evidente che l’unico scopo del ransomware era quello di crittografare i dati e che nessun altro malware veniva rilevato nel sistema.
    • – Comunicazione al Garante: Sì, la notifica è necessaria in caso di potenziali danni ai soggetti interessati, visto che questo attacco comporta una perdita di disponibilità dei dati.
    • – Comunicazione agli interessati: Sì, la notifica dipende dalla natura dei dati violati e dal possibile effetto della perdita di disponibilità dei dati, così come altre probabili conseguenze.
    • – Commento: Se fosse disponibile un backup e se i dati potessero essere ripristinati in tempo utile, non sarebbe necessario segnalare al Garante o agli interessati poiché non ci sarebbe stata perdita permanente di disponibilità o riservatezza. Tuttavia, il Garante potrebbe considerare di verificare la conformità dei requisiti di sicurezza più ampi previsti dall’art. 32.
  5. Un interessato denuncia al call center della banca una violazione di dati. Il soggetto ha ricevuto un estratto conto mensile di qualcun altro.
    Il titolare del trattamento intraprende una breve indagine (che va completata entro 24 ore) e stabilisce con ragionevole certezza che si è verificata una violazione dei dati personali e se ciò è stato causato da un difetto sistemico che comporti il potenziale interessamento di altri soggetti.

    • – Comunicazione al Garante: No.
    • – Comunicazione agli interessati: Vengono notificati i soggetti interessati solo se esiste un rischio elevato ed è chiaro che altri soggetti non sono stati coinvolti.
    • – Commento: Se, dopo ulteriori indagini, si è stabilito che sono interessati più soggetti, sarà necessario aggiornare il Garante ed il titolare del trattamento dovrà intraprendere, come azione supplementare,  la notifica ad altri soggetti, in caso di loro rischio elevato.
  6. Un e-commerce multinazionale subisce un attacco informatico che rivela pubblicamente: nomi utente, password e liste degli acquisti effettuati.
    • – Comunicazione al Garante: Sì, la notifica è necessaria alla competente autorità di controllo preminente.
    • – Comunicazione agli interessati: Sì, la notifica è necessaria a causa degli alti rischi.
    • – Commento: Il titolare del trattamento dovrebbe intervenire, ad esempio obbligando i titolari degli account interessati al reset delle password, nonché ad adottare ulteriori misure per attenuare il rischio.
  7. Una società di hosting web individua un errore nel codice che controlla l’accesso da parte degli utenti. L’anomalia comporta che qualunque utente possa accedere ai dettagli dell’account di qualsiasi altro utente.
    • – Comunicazione al Garante: Come responsabile del trattamento, la società di hosting web deve notificare tempestivamente al Garante quali suoi clienti (titolari del trattamento) sono coinvolti.
      Supponendo che la società di hosting web abbia effettuato una propria indagine, i titolari coinvolti dovrebbero essere ragionevolmente sicuri di sapere o meno di aver subito una violazione. Pertanto è da considerarsi “avvisato” una volta è stato oggetto di notifica dalla società di hosting (il responsabile del trattamento). Il titolare dovrà in seguito notificare la violazione all’autorità di vigilanza.
    • – Comunicazione agli interessati: Se non esiste un rischio elevato per i soggetti interessati, la notifica non è necessaria.
    • – Commento: La società di hosting web (responsabile) deve considerare tutti gli altri obblighi di notifica (ad esempio, nell’ambito della direttiva NIS).
      Se non vi è alcuna prova che questa vulnerabilità sia stata sfruttata da un particolare soggetto titolare, una notifica di violazione non può aver luogo ma è probabile che sia registrabile o che rientri nei casi di non conformità, ai sensi dell’art. 32.
  8. Un attacco informatico causa la non disponibilità dei registri medici in un ospedale per il periodo di 30 ore.
    • – Comunicazione al Garante: Sì, l’ospedale è tenuto a notificare al paziente che potrebbe verificarsi un alto rischio per il suo benessere e la sua privacy.
    • – Comunicazione agli interessati: Sì, la notifica è necessaria.
    • – Commento:
  9. I dati personali di 5000 studenti sono inviati per errore ad una mailing list sbagliata con più di 1000 destinatari.
    • – Comunicazione al Garante: Sì, la notifica è necessaria.
    • – Comunicazione agli interessati: Sì, la notifica è necessaria ai soggetti interessati, a seconda dell’ambito e tipo dei dati personali coinvolti e della gravità delle possibili conseguenze.
    • – Commento:
  10. Una e-mail di marketing diretto viene inviata ai destinatari nel campo “a:” o “cc:”, consentendo così a ciascun destinatario di visualizzare l’indirizzo di posta elettronica di altri destinatari.
    • – Comunicazione al Garante: Sì, la notifica all’autorità di vigilanza può essere obbligatoria se è coinvolto un numero elevato di soggetti, se vengono rivelati dati sensibili (ad esempio una mailing list di un psicoterapeuta) o se altri fattori presentano rischi elevati (ad esempio, la mail contiene le password iniziali).
    • – Comunicazione agli interessati: Sì, la notifica è necessaria ai soggetti interessati, a seconda del tipo dei dati personali coinvolti e della gravità delle possibili conseguenze.
    • – Commento: La notifica potrebbe non essere necessaria se non vengono rivelati dati sensibili o se viene rivelato solo un numero ristretto di indirizzi di posta elettronica.

 

La previsione e di una corretta procedura di reazione alle violazioni dei dati personali deve certamente far parte dell’adeguamento di una attività al GDPR per poterlo definire davvero completo, infatti, la delicatezza della situazione impone di agire tempestivamente e in maniera sicura e richiede talvolta l’intervento del DPO, qualora sia presente nella realtà aziendale.

Il rischio di ritrovarsi ad affrontare uno spinoso caso di violazione dei dati personali si riduce attraverso l’implementazione di adeguate misure di sicurezza, verificabili attraverso un audit, oppure, nel caso di realtà che contino un certo numero di dipendenti autorizzati a trattare i dati personali, attraverso un solido programma di formazione e sensibilizzazione di questi.

Privacy Studio Blog

Siamo un gruppo di professionisti della privacy con un focus nell'aiutare i nostri clienti a trattare consapevolmente e correttamente i dati personali e non solo.

Richiedi un preventivo

Offriamo servizi di consulenza legale e tecnica in ambito privacy, tra i quali:

  • Servizio DPO
  • Adeguamento GDPR
  • Formazione
  • Audit
  • Certificazione Siti/e-commerce
  • Gestione Contenzioso

Iscriviti alla newsletter!

Altri articoli del blog

Vedi tutti

Lascia un commento