Archivi categoria: Data breach

Privacy – Data Breach, come gestirlo senza errori

Rispondi

Privacy – Data Breach, come gestirlo senza errori

Valutare la severità di un data breach è il primo passo da compiere prima di effettuare (entro 72 ore) la notifica della violazione dei dati, un obbligo generale introdotto dal Regolamento UE 679/2016 (“GDPR”).

La notifica all’Autorità Garante va effettuata sempre, tranne il caso in cui è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.

Se invece il rischio non soltanto è probabile ma anche elevato, la notifica deve essere fatta anche ai singoli interessati.

Riassumiamo quindi i principali errori che la gestione di un data breach presenta.

  1. Assenza di una procedura scritta di gestione di un evento che comporta la violazione dei dati
  2. Assenza nella comunicazione agli interessati dell’avvenuto data breach, della natura della violazione  (es. se vi è stata una violazione della riservatezza)
  3. Ritardo nella comunicazione agli interessati
  4. Descrizione non realistica della violazione nella comunicazione
  5. Assenza nella comunicazione di consigli tecnici sui rimedi, adottabili direttamente dall’interessato, per mitigare le conseguenze dannose della violazione
  6. Utilizzare come strumenti di comunicazione all’interessato, i dati che si ritengono violati. Ad esempio non utilizzare l’email per inviare tale comunicazione, se la violazione riguarda proprio l’email. Valutare mezzi alternativi.

    UNA SOLUZIONE SOFTWARE PER IL DATA BREACH
    Software valutazione severità Data Breach consente di valutare la gravità di un data breach, utilizzando la metodologia e l’algoritmo dell’ Enisa – l’agenzia europea per la sicurezza delle informazioni, e fornisce le indicazioni relative a:
    _ fare/non fare notifica al Garante
    _ fare/non fare comunicazione all’interessato
    _ effettuare/non effettuare il trattamento dell’eventoIl software funziona su un un algortimo che elabora i dati relativi a tre variabili come definite dalla procedura Enisa negli Anneex 1,2 e 3 :
    _ Contesto elaborazione dati
    _ Facilità con cui chi ha accesso ai dati violati può identificare i soggetti interessati
    _ Circostanze della violazione.L’utente deve scegliere per ogni variabile un valore definito dalla guida Enisa da un menù a tendina. Il software effettua in automatico il calcolo del livello di severità del databreach su 4 livelli: basso, medio, alto, molto alto.Per ogni livello di severità il software fornisce in automatico le indicazioni relative a:
    _ fare/non fare notifica al Garante
    _ fare/non fare comunicazione all’interessato
    _ effettuare/non effettuare il trattamento dell’eventoIn base a queste informazioni il titolare dei trattamenti dati può valutare che cosa fare. L’esito è stampabile e allegabile alla documentazione della gestione del data breach.
    Guarda la video demo

Come gestire correttamente un data breach con il nuovo software valutazione severità data breach privacy

Rispondi

E’ stato pubblicato il software Valutazione severità Data Breach

Software valutazione severità Data Breach consente di valutare la gravità di un data breach, utilizzando la metodologia e l’algoritmo dell’ Enisa – l’agenzia europea per la sicurezza delle informazioni.
Senza questa valutazione è molto difficile per il titolare decidere se procedere o meno alla notifica al Garante e agli interessati.

Valutare la severità di un data breach è il primo passo da compiere prima di effettuare la notifica della violazione dei dati, un obbligo generale introdotto dal Regolamento UE 679/2016 (“GDPR”).

La notifica all’Autorità Garante va effettuata sempre, tranne il caso in cui è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.

Se invece il rischio non soltanto è probabile ma anche elevato, la notifica deve essere fatta anche ai singoli interessati.

Accedi alla video demo dal seguente link

Data breach: le istruzioni dei Garanti privacy Ue per gestire le violazioni di dati

Rispondi
corso_agg_dpo

Come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? A questa e ad altre domande rispondono le linee guida, adottate dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio.

Le “Guidelines 01/2021 on Examples regarding Data Breach Notification“, approvate nella riunione plenaria del 14 gennaio scorso, si basano sull’analisi dei casi più significativi di violazione dei dati – affrontati dai Garanti privacy nazionali, incluso quello italiano – subiti da banche, ospedali, medie imprese, municipalità, società che offrono servizi online di vario genere.

Sul documento l’Edpb ha avviato una consultazione pubblica per un periodo di sei settimane (fino al 2 marzo 2021).

Le linee guida presentano, per ciascuna casistica, esempi di buone o cattive pratiche, raccomandano modalità di identificazione e valutazione dei rischi (evidenziando i fattori che meritano particolare considerazione), indicano in quali casi chi tratta i dati deve notificare la violazione all’Autorità Garante e, se necessario, informare le persone coinvolte.

Tra le mancanze più frequenti ricordati dalle Linee guida vi è, ad esempio, l’omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate. Potrebbe facilitare violazioni anche la non corretta gestione dell’autenticazione degli utenti a siti web, magari a causa dell’utilizzo di password deboli o conservate in chiaro. Nel settore bancario, potrebbe causare enormi danni l’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti, informazioni che facilitano l’accesso illecito a contenuti che dovrebbero rimanere protetti. Drammatiche potrebbero essere le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) ai referti e ad altri documenti dei pazienti di un ospedale, a meno che la struttura sanitaria non abbia provveduto a effettuare un backup separato dei dati. Non bisogna sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati.

Il testo, che integra e aggiorna gli orientamenti già forniti negli anni passati dal Gruppo “Articolo 29”, proprio per offrire un contributo concreto a imprese e Pa, analizza anche le misure adottate dai titolari del trattamento, prima di aver subito un data

modlelo_rel_ann_DPO

Data Breach: il Garante lancia un nuovo servizio online per semplificare gli adempimenti

Rispondi
corso_agg_dpo

E’ operativo da oggi il nuovo servizio del Garante (https://servizi.gpdp.it/databreach/s/) per supportare i titolari del trattamento negli adempimenti previsti in caso di Data Breach (violazioni dei dati personali).

Da qui gli utenti potranno accedere al modello di notifica al Garante e alla procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di Notifica di una violazione dei dati personali all’autorità di controllo e di Comunicazione di una violazione dei dati personali all’interessato.

modlelo_rel_ann_DPO

British Airways è riuscita a far registrare un nuovo, poco invidiabile, record: a seguito della violazione informatica subita nel 2018, l’Information Commissioner’s Office (ICO) le ha inflitto una multa da 204 milioni euro (183 milioni di sterline), una cifra che rappresenta l’1,5% del fatturato annuo della compagnia aerea e la pena pecuniaria più alta al mondo mai comminata per un furto informatico di dati. Una cifra così elevata è giustificata dall’applicazione delle norme relative al GDPR, che prevedono una pena pecuniaria massima pari al 4% del fatturato aziendale.

Rispondi