Anche gli studi professionali a rischio hacker. Così si gestiscono gli attacchi
La stessa perdita di uno smartphone può compromettere i dati: quali eventi vanno notificati al Garante privacy
di Francesca Gaudino
I punti chiave
3' di lettura
Dopo gli attacchi hacker che hanno colpito in Francia e in Italia, anche gli studi professionali dovrebbero porre attenzione ai rischi di data breach nei propri sistemi.
La prima mossa è individuare e circoscrivere cosa è un data breach. Il data breach è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. È una definizione ampia che comprende tre eventi:
1 perdita di riservatezza - diffusione o accesso non autorizzato/accidentale;
2 perdita di integrità - modifica non autorizzata/accidentale;
3 perdita di disponibilità - impossibilità di accesso o distruzione non autorizzata/accidentale.
Le linee guida 9/2022 sul data breach del Comitato europeo per la protezione dei dati forniscono utili indicazioni su cosa costituisce una violazione e come valutarne la gravità.
Prima considerazione è che una violazione non comporta necessariamente un attacco esterno: anche un incidente occorso durante l’ordinaria attività dello studio professionale può comportare violazione dei dati, ad esempio un accesso non autorizzato ai dati da parte di un dipendente dello studio.
Tra i più comuni data breach per gli studi professionali possiamo elencare il furto o la perdita di dispositivi informatici (laptop, smartphone) contenenti dati personali; la diffusione o la distruzione accidentale di dati dovuta a errori nell’uso dei sistemi di gestione dei dati del professionista (errata configurazione, cancellazione accidentale, mancato aggiornamento di software); l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati per errore umano o violazione di policies dello studio (es. invio di mail a destinatari errati) e, ovviamente, attacchi hacker.
La notifica
Il Garante ha reso disponibile uno strumento di autovalutazione, in caso di data breach, anche se le decisioni spettano, in concreto, al professionista. Questi deve notificare la violazione al Garante, salvo se ritenga improbabile che la stessa comporti un rischio per i diritti e le libertà degli interessati (le persone coinvolte). Se il professionista ritiene che l’incidente comporti un rischio elevato per i diritti delle persone deve comunicarlo anche a loro, salvo quando abbia adottato misure tali da ridurre il rischio, ad esempio cifrando i dati.
Il professionista deve anche valutare se dall’incidente possano derivare danni fisici, materiali o immateriali alle persone considerando natura, sensibilità e volume dei dati coinvolti. Dati relativi alla salute o all’appartenenza sindacale di dipendenti espongono a un rischio elevato.
Ma persino dati personali comuni quali nome, cognome, residenza, email, telefono possono presentare un rischio in determinate circostanze. Occorre valutare se i terzi in possesso dei dati possano combinarli con altri e abusarne. L’indirizzo email di per sé non presenta un rischio elevato, ma se associato ad altri dati che consentono di costruire un profilo specifico di una persona, può essere usato (nei casi meno gravi) per marketing personalizzato.
La possibile identificazione della persona e le intenzioni dei terzi coinvolti nell’incidente sono da valutare. Se per errore il professionista invia a X una mail con dati personali di un terzo, ma conosce X e chiede ed ottiene conferma della cancellazione immediata dei dati, il rischio è limitato. Maggiore è il numero di persone coinvolte più alto è il rischio. Le linee Guida in generale consigliano come approccio precauzionale di notificare l’incidente.
Cosa fare dopo un data breach
La notifica va fatta senza ritardo, possibilmente entro 72 ore dalla scoperta; oltre le 72 ore, il professionista deve giustificare i motivi del ritardo. Anche se non ha notificato l’incidente al Garante/agli interessati, deve comunque documentarlo (ad es. in un registro interno che sarà a disposizione del Garante in caso di richiesta/ispezioni). Si tratta di un adempimento importante, che consente al professionista di dimostrare le valutazioni fatte e le decisioni prese a seguito di violazioni di dati.
Brand connect
I video più visti
Le foto più viste
Siccità, cosa succede nel mondo
21 marzo 2023
loading...