{"id":17224,"date":"2022-01-19T14:57:32","date_gmt":"2022-01-19T13:57:32","guid":{"rendered":"https:\/\/www.albeeassociati.it\/?p=17224"},"modified":"2024-11-12T09:42:23","modified_gmt":"2024-11-12T08:42:23","slug":"notifica-di-data-breach-le-nuove-linee-guida-delledpb","status":"publish","type":"post","link":"https:\/\/www.albeeassociati.it\/en\/notifica-di-data-breach-le-nuove-linee-guida-delledpb\/","title":{"rendered":"Notifica di Data Breach: le nuove Linee Guida dell\u2019EDPB"},"content":{"rendered":"\n<p>Sono state pubblicate le nuove <strong>Linee Guida <\/strong>del Comitato Europeo per la Protezione dei Dati (EDPB) <strong>sugli esempi di notifiche di violazione dei dati personali<\/strong>.<\/p>\n\n\n\n<p>Lo scopo \u00e8 quello di fornire, ai Titolari del trattamento dei dati, alcune <strong>indicazioni e raccomandazioni<\/strong> per la gestione e prevenzione del <em>data breach<\/em>.<\/p>\n\n\n\n<p>L\u2019EDPB affronta alcuni dei casi pi\u00f9 frequenti di violazione dei dati personali, fornendo esempi concreti sulle azioni da adottare.<\/p>\n\n\n\n<p>Ferma l\u2019annotazione del <em>data breach <\/em>sul registro delle violazioni \u2013 sempre prevista \u2013 le Linee Guida analizzano, caso per caso, gli ulteriori adempimenti necessari, che vengono sempre valutati, come previsto dal Regolamento, in considerazione della tipologia di dati coinvolti e della sussistenza o meno di un <strong>rischio per i diritti e le libert\u00e0<\/strong> dei soggetti coinvolti. La presenza di detto rischio rende necessaria la <strong>notifica all\u2019Autorit\u00e0 Garante<\/strong> e, nel caso di rischio elevato, anche la <strong>comunicazione agli interessati<\/strong>.<\/p>\n\n\n\n<p>Di seguito, un elenco dei casi esaminati dalle Linee Guida, con le relative misure di sicurezza suggerite per scongiurare rischi di violazione.<\/p>\n\n\n\n<p><strong>1) Ransomware<\/strong>: un <em>hacker<\/em> riesce a crittografare i dati personali e, una volta acquisiti, chiede al Titolare del trattamento un riscatto, in cambio del codice utile per decriptarli.<\/p>\n\n\n\n<p>Le ipotesi esaminate sono di varia natura: <em>ransomware<\/em> con <em>backup<\/em> adeguato e senza esfiltrazione, <em>ransomware<\/em> senza <em>backup<\/em> adeguato, con <em>backup<\/em> adeguato e senza esfiltrazione che abbia coinvolto un ospedale, <em>ransomware<\/em> senza <em>backup<\/em> adeguato e con esfiltrazione.<\/p>\n\n\n\n<p>Tra le misure di sicurezza che l\u2019EDPB suggerisce, in ogni caso, di adottare, vi sono:<\/p>\n\n\n\n<ul><li>una procedura di <em>backup<\/em> sicura e testata;<\/li><li>appropriati e aggiornati <em>software anti-malware<\/em>;<\/li><li>una formazione del personale dipendente circa i metodi per riconoscere e prevenire tali violazioni;<\/li><li>l\u2019adozione di una crittografia forte o un sistema di autenticazione a pi\u00f9 fattori;<\/li><li>l\u2019esecuzione regolare di test sulla vulnerabilit\u00e0 e penetrazione del sistema.<\/li><\/ul>\n\n\n\n<p><strong>2) <\/strong><strong>Attacchi di esfiltrazione dei dati: <\/strong>vengono sfruttate dall\u2019aggressore le vulnerabilit\u00e0 nei servizi offerti ai terzi in Internet, con l\u2019obiettivo di copiare e trasferire dati personali per scopi malevoli.<\/p>\n\n\n\n<p>I casi esaminati sono: l\u2019esfiltrazione dei dati di domande di lavoro pubblicate su un sito <em>web<\/em>, l\u2019esfiltrazione di una <em>password<\/em> da un sito <em>web<\/em> e l\u2019attacco ad un sito <em>home-banking<\/em>.<\/p>\n\n\n\n<p>Queste le misure consigliate:<\/p>\n\n\n\n<ul><li>una crittografia adeguata, soprattutto quando si trattano <em>password<\/em>, dati particolari o finanziari;<\/li><li>un sistema <em>software<\/em> e <em>firmware<\/em> aggiornato;<\/li><li>test regolari per verificare che i <em>backup<\/em> siano in grado di ripristinare qualsiasi dato violato;<\/li><li><em>audit<\/em> sistematici sulla sicurezza IT e valutazioni della vulnerabilit\u00e0 (<em>penetration test<\/em>).<\/li><\/ul>\n\n\n\n<p><strong>3) Errore umano<\/strong> di natura intenzionale o fortuita.<\/p>\n\n\n\n<p>L\u2019EDPB esamina, tra le altre, le seguenti ipotesi: esfiltrazione dei dati aziendali da parte di un dipendente, accidentale trasmissione dei dati ad una terza parte, erroneo invio di dati personali altamente confidenziali.<\/p>\n\n\n\n<p>In questo caso, tra le misure che l\u2019EDPB suggerisce di adottare, vi sono:<\/p>\n\n\n\n<ul><li>un programma di formazione e sensibilizzazione rivolto al personale dipendente, circa gli errori pi\u00f9 comuni che vengono commessi;<\/li><li>la disabilitazione dell&#8217;account aziendale alla cessazione del rapporto;<\/li><li>il blocco del computer dopo un certo lasso di tempo di inattivit\u00e0;<\/li><li>l\u2019uso di sistemi che applicano meccanismi di controllo e che impediscono, ad esempio, l&#8217;invio di comunicazioni ad un erroneo destinatario;<\/li><li>la revisione regolare del sistema di indirizzamento automatico;<\/li><li>l\u2019applicazione del \u201critardo del messaggio\u201d che consente, entro un certo periodo di tempo, la cancellazione o la modifica del medesimo.<\/li><\/ul>\n\n\n\n<p><strong>4) Smarrimento o furto di dispositivi informatici o di documenti cartacei<\/strong><\/p>\n\n\n\n<p>Le Linee Guida considerano i casi in cui il <em>device<\/em> rubato contenga dati personali criptati o non criptati e quello in cui i documenti cartacei sottratti contengano dati particolari.<\/p>\n\n\n\n<p>Le misure che l\u2019EDPB suggerisce di adottare sono:<\/p>\n\n\n\n<ul><li>l\u2019uso di <em>password<\/em> o l&#8217;autenticazione a pi\u00f9 fattori su tutti i dispositivi;<\/li><li>l\u2019attivazione di funzionalit\u00e0 di localizzazione dei dispositivi in caso di perdita o smarrimento;<\/li><li>il salvataggio dei dati personali su un <em>server<\/em> centrale (se possibile e appropriato al trattamento dei dati in questione); \u00a0<\/li><li>l\u2019adozione di serrature fisiche per proteggere i dispositivi mobili quando rimangono incustoditi;<\/li><li>l\u2019abilitazione della funzione di cancellazione remota;<\/li><li>la mancata memorizzazione di informazioni sensibili in dispositivi mobili o nei dischi rigidi.<\/li><\/ul>\n\n\n\n<p><strong>5) Attacchi di ingegneria sociale: <\/strong>l\u2019<em>hacker<\/em> convince la vittima a condividere dei dati personali tramite l\u2019inganno.<\/p>\n\n\n\n<p>Le ipotesi analizzate sono il furto d\u2019identit\u00e0 e l\u2019esfiltrazione di mail.<\/p>\n\n\n\n<p>Le nuove Linee Guida confermano ancora una volta che \u00e8 fondamentale per il Titolare del trattamento valutare attentamente i rischi connessi al trattamento dei dati personali e adottare le misure tecniche e organizzative appropriate, prevedendo altres\u00ec un\u2019adeguata <strong>procedura per la gestione delle violazioni<\/strong> che dovessero verificarsi nonostante l\u2019implementazione dei sistemi di sicurezza.<\/p>\n\n\n\n<p>Detta procedura consente, infatti, al Titolare di affrontare e gestire al meglio un <em>data breach<\/em> e gli adempimenti che ne derivano, nel rispetto degli stringenti termini imposti dal Regolamento.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sono state pubblicate le nuove Linee Guida del Comitato Europeo per la Protezione dei Dati (EDPB) sugli esempi di notifiche di violazione dei dati personali. Lo scopo \u00e8 quello di fornire, ai Titolari del trattamento dei dati, alcune indicazioni e raccomandazioni per la gestione e prevenzione del data breach. L\u2019EDPB affronta alcuni dei casi pi\u00f9 [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":17225,"comment_status":"closed","ping_status":"0","sticky":false,"template":"","format":"standard","meta":[],"categories":[34,11],"tags":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/17224"}],"collection":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/comments?post=17224"}],"version-history":[{"count":3,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/17224\/revisions"}],"predecessor-version":[{"id":17229,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/17224\/revisions\/17229"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media\/17225"}],"wp:attachment":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media?parent=17224"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/categories?post=17224"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/tags?post=17224"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}