L’EDPB, sigla inglese del Comitato europeo per la protezione dei dati, ha recentemente pubblicato la versione aggiornate delle linee guida in merito ai Data Breach con esempi di violazione dei dati personali e con indicazioni sull’eventuale obbligo di notifica al Garante. Ecco cos’è cambiato rispetto alla versione precedente.
Novità principali della versione aggiornata delle linee guida dell’EDPB sui data breach
Le linee guida aggiornate dell’EDPB adottano un approccio basato su scenari, definendo:
- Le categorie comuni di violazione dei dati come ransomware, esfiltrazione dei dati, errori e incidenti provocati dal fattore umano e tecniche di cyberattacco basate sull’ingegneria sociale
- Adeguate misure di mitigazione e misure preventive per ogni situazione
- Obblighi di notifica a seguito dell’identificazione di una violazione.
Questa nuova versione delle linee guida, perciò, presenta anche raccomandazioni circa le misure per prevenire le più comuni di violazione dei dati. Raccomandazioni che includono:
- Misure di sicurezza
- Formazione regolare sulla sicurezza delle informazioni
- Revisione continua e attività di testing sulle misure messe in atto per rimanere al passo con la continua evoluzione tecnologica sia delle modalità di attacco sia delle soluzioni per difendersi.
Come valutare i rischi legati a un Data Breach secondo le linee guida dell’EDPB
Come indicato nel GDPR, le violazioni dei dati che potrebbero comportare un rischio per i diritti e le libertà delle persone dovrebbero essere segnalate:
- Al Garante
- Agli interessati, cioè ai soggetti a cui erano riferiti i dati oggetto del Data Breach (se questo comporta un “rischio elevato” per gli interessati).
Gli esempi presentati nelle linee guida aggiornate suggeriscono che tale “rischio elevato” debba essere valutato sulla base di un’ampia varietà di fattori. Oltre a quelli presenti già nella precedente versione, le Linee Guida 2.0 aggiungono anche altri fattori, tra cui:
- L’impossibilità di recuperare i dati che sono stati esfiltrati e che non erano completamente sottoposti a backup, o che erano sottoposti a backup gestiti in modo non efficace.
- Il non utilizzo di una tecnica di crittografia all’avanguardia dei dati compromessi (che risultano pertanto più facilmente disponibili per gli aggressori)
Ulteriori novità della nuova versione delle Linee Guida dell’EDPB sul Data Breach
- Viene evidenziato che tali linee guida sono rilevanti anche per i responsabili del trattamento. Anche se l’obbligo di segnalare i data breach alle autorità spetta ai titolari del trattamento, l’EDPB ha aggiunto riferimenti ai responsabili del trattamento in tutte le linee guida, sottolineando che anche i responsabili del trattamento sono tenuti ad attuare misure adeguate per prevenire le violazioni dei dati.
- Le violazioni che non necessitano di segnalazione devono comunque essere analizzate.
Anche se una violazione dei dati è considerata non notificabile, l’EDPB si aspetta che l’organizzazione che l’ha subita indaghi a fondo sulla violazione per individuarne la causa e adottare le appropriate misure di sicurezza. - I backup dovrebbero essere eseguiti periodicamente e isolati per aumentare la probabilità di recupero dei dati in caso di ransomware.
- Le notifiche pubbliche agli interessati dovrebbero essere effettuate valutando con attenzione quali dettagli è il caso di trasmettere e quali no, così da evitare che la comunicazione posso causare ulteriori conseguenze negative per gli interessati.
- I titolari del trattamento di dati particolari hanno una maggiore responsabilità nel fornire un’adeguata sicurezza dei dati. Dati come dettagli di pagamento, buste paga, estratti conto bancari o altre informazioni che rivelano i dettagli finanziari degli interessati.
- Viene suggerito di adottare sistemi di autenticazione a più fattori
- Si ricorda l’importanza di effettuare non solo analisi dei rischi, ma anche test e aggiornamenti delle procedure di gestione del rischio.
Non sai come effettuare analisi dei rischi efficaci? Contattaci per una consulenza!
Fonte: sito ufficiale EDPB