Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

I consigli

Data breach, come difendersi: i software per gestire al meglio una violazione di dati

I suggerimenti dell’esperto per scegliere il software più adatto a proteggere la propria attività da possibili data breach. Sempre più diffuse queste violazioni che puntano alla sottrazione dei dati, con conseguenze gravi per le imprese: occorre adeguarsi alle misure previste dal GDPR

19 Lug 2019
E
Graziano Esposito

Data Protection Officer e Privacy Consulting


Con l’entrata in vigore del GDPR sentiamo spesso parlare di data breach. Utile dunque conoscere i software disponibili per affrontare un data breach, ossia la violazione dei dati e la divulgazione intenzionale o involontaria di informazioni protette o private, confidenziali in un ambiente non affidabile, includendo anche la perdita e lo sversamento di dati.

Ecco i consigli per scegliere la soluzione migliore per le proprie esigenze.

Il framework normativo

L’art. 4 del Regolamento EU 16/679 recita per violazione dei dati personali come un buco nella sicurezza che “determina accidentalmente o in modo non lecito la distruzione, la perdita, la modifica, la divulgazione senza autorizzazione oppure l’accesso ai dati personali inviati, conservati o comunque trattati”.

Ma come si può capire se l’accaduto o “l’incidente” consiste o meno in una violazione di dati, come poter determinare la gravità, e soprattutto quando e necessario fare notifica alle autorità di controllo?

Inoltre gli articoli 33 e 34 dello stesso Regolamento, indicano l’essenzialità di dover effettuare la notifica della violazione all’Autorità, e nel caso in cui siano messi a rischio la libertà ed i diritti individuali, anche l’obbligo di comunicazione ai soggetti interessati, evidenziando e sottolineando che il tutto deve avvenire entro le 72 ore e senza ingiustificato ritardo dal momento in cui è emersa la violazione. fondamentale quindi per il titolare del trattamento, riuscire a determinare e fornire una risposta quanto più precisa al quando, come e perché siamo in presenza di un data breach.

Ricordiamo che il titolare del trattamento (data controller) è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4. par. 1, n. 7 GDPR).

In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati.

Gli obblighi del titolare del trattamento

Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento, è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, in tal senso è centrale nell’ambito del regolamento europeo il principio di responsabilizzazione (articolo 24 GDPR, principio dell’accountability) del titolare del trattamento. Gli obblighi previsti sono:

  • notifica al Garante nei casi dove previsto;
  • adozione delle misure tecniche e organizzative adeguate e necessarie per garantire, sin dalla fase della progettazione, la tutela dei diritti dell’interessato (privacy by design) e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati in modalità illecita;
  • il rispetto del vincolo di riservatezza dei dati, inteso come dovere di non poter usare, comunicare o diffondere i dati al di fuori del trattamento dichiarato;
  • la designazione del responsabile del trattamento a cui affidare e demandare mansioni importanti oltre che di elevata professionalità, in fase di gestione e trattamento dei dati personali;
  • redazione, compilazione ed aggiornamento del registro di trattamenti;
  • formazione costante e continua del personale;
  • elaborazione della documentazione delle violazioni dei dati personali, includendo le circostanze, le eventuali conseguenze ed i provvedimenti adottati per porre idoneo rimedio.

Fondamentalmente in caso di Data Breach, anche quando la segnalazione sarà effettuata da un responsabile del trattamento, spetterà sempre al titolare del trattamento la verifica e l’accertamento attraverso tre passaggi importanti, l’identificazione, la registrazione e la relativa comunicazione.

Individuare la violazione

Analizziamo più nel dettaglio queste fasi partendo da quella che ritengo personalmente fondamentale, ed è la chiave di lettura di questo articolo, ossia l’identificazione della violazione dei dati è la divulgazione intenzionale o accidentale di informazioni protette o private, capire se ciò che è avvenuto rappresenta, costituisce realmente ed effettivamente un data breach.

Un esempio pratico è la rottura di un HD sul PC o server, dove vi è una configurazione RAID (acronimo di “Redundant Array of Independent Disks”) creando una copia speculare dei dati utilizzati quotidianamente, che viene spesso impiegata sui sistemi aziendali per consentire il recupero delle informazioni nel caso in cui un disco dovesse per qualunque motivo danneggiarsi, non si tratta assolutamente una perdita o violazione di dati, per cui non è necessario attuare alcuna procedura o allarmare ed avvisare gli utenti, ma semplicemente ripristinare la configurazione corretta e la sostituzione dell’hard disk.

Secondo passaggio è la registrazione, ossia l’acquisizione di tutte le informazioni necessarie, che possono aiutare il titolare a determinare il grado di gravità ed eventualmente stabilire ed attuare tutte le azioni correttive da implementare, praticamente annotare le fasi dell’accaduto, una sorta di log manuale, annotandole nel registro dei data breach.

Terzo ed ultimo passo altrettanto importante, riguarda la comunicazione ossia la notifica al Garante delle violazioni di dati personali ,in quanto possono eventualmente scaturire effetti avversi significativi sulle persone, causando danni fisici, materiali o immateriali, come ad esempio, perdere il controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita della riservatezza, l’indebolimento della reputazione e qualsiasi altro significativo danno economico o sociale.

Come già detto in precedenza, le notifiche al Garante devono essere effettuate entro 72 ore dalla scoperta, ove possibile senza indebiti ritardi.

WHITEPAPER
I Servizi Gestiti possono essere un’attività estremamente redditizia. Quali gli strumenti utili?

Inoltre, se la violazione o la perdita comportano un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più opportuni ed idonei, a meno che abbia già attuato misure e ridotto al minimo l’impatto.

Ho effettuato una attenta ed approfondita ricerca, una cosiddetta software selection, in sostanza o verificato ed analizzato i migliori tool presenti e disponibili sul mercato, che possono gestire e venire incontro alle “delicate” esigenze e necessità decisionali che il titolare del trattamento è tenuto ad affrontare in materia di data breach, tenendo conto di tutte le considerazioni sopra riportate. Ho preso in considerazione tre prodotti, di consolidate ed affidabili software house, che operano da anni sul mercato.

Data breach: i software sul mercato

Gorilla Data Breach

La prima società è Privacy Lab con sede a Reggio Emilia, società specializzata esclusivamente in compliance, adeguamento e formazione privacy, già operativa ai tempi del D.lgs. 196/03, che grazie al CEO Andrea Chiozzi e Roberto Ghinolfi, vanta una notevole e lunga esperienza e competenza in ambito privacy.

Hanno sviluppato Privacy Lab GDPR ed è il software in cloud che permette ad aziende, enti e consulenti di gestire quotidianamente tutti gli adempimenti previsti dal Regolamento Europeo (UE) n.2016/679.

In particolare segnalo la completezza e la scalabilità delle loro soluzioni, con una versione Base, Doc e DPIA alle quali è possibile aggiungere dei tool per le lingue, E-learning ed in particolare Gorilla Data Breach.

Gorilla Data Breach è il tool di PrivacyLab, semplice e intuitivo, che consente in maniera logica e trasparente la registrazione delle informazioni in nostro possesso, per poter determinare se gli eventi accaduti costituiscono o meno una violazione, così come indicato dall’articolo 33 del GDPR.

Lo stesso tool permette inoltre di calcolare la tipologia di gravità dell’incidente ed identificare il livello della violazione. Infine consente anche, se necessario ed opportuno, la predisposizione della comunicazione con le specifiche del Data Breach, al garante per la protezione dei dati personali.

Un’altra utile caratteristica di Gorilla Data Breach è l’individuazione di eventuali falle nella sicurezza e la conseguente riduzione del rischio di futuri data breach.

One Trust Incident & Breach Response

La seconda software house è OneTrust, una multinazionale con sede centrale a Londra, presente anche ad Atlanta ed in Europa a Monaco, è la più grande e diffusa piattaforma tecnologica e specifica per la gestione della privacy, costituita da soluzioni modulari per consentire un ottimale adeguamento al GDPR e la compliance privacy.

La piattaforma si suddivide in due grandi macro aeree, la prima relativa alla gestione compliance privacy, dove è possibile usufruire e gestire una di una notevole serie esaustiva di questionari e di template, PIA e DPIA, registro dei trattamenti, l’altra anche molto completa e dettagliata, incentrata sul marketing e strumenti di conformità web, con la gestione dei consensi, le conformità del sito web, e da segnalare in particolare OneTrust Incident&Breanch Response.

One Trust Incident & Breach Response, è un tool che aiuta l’azienda nella gestione degli incidenti e delle violazioni, automatizzando le attività e mantenendo i record in conformità con la normativa attuale ed aggiornata, creando flussi di lavoro automatizzati, dettagliati e specifici che supportano il titolare del trattamento nel rispondere rapidamente alle violazioni, gli incidenti e favorendone il processo decisionale in caso di dover effettuare notifica al Garante.

Uno dei principali vantaggi del prodotto di OneTrust, è di poter utilizzare ed usufruire di uno strumento avanzato che integra sia la privacy che le ultime ed aggiornate normative sulla violazione dei dati a livello internazionale direttamente all’interno della piattaforma.

Tale funzionalità di ricerca semplifica e favorisce l’azienda nel determinare automaticamente i requisiti per la notifica, interrogando e permettendo la consultazione di oltre 100 leggi sulla violazione dei dati, mediante una moderna dashboard, ed un cruscotto che consente di monitorare in maniera semplice ed intuitiva lo status della risposta alle violazioni e garantendo l’omogeneità per la notifica.

Viene utilizzata la tecnologia OneTrust Data Inventory & Mapping, che rappresenta lo strumento che consente l’identificazione dei dati di una violazione, come viene utilizzata, chi può accedervi, e altro ancora.

Inoltre, OneTrust fornisce suggerimenti e modelli di notifica semplici e completi da usare. All’interno di OneTrust, vengono elaborati flussi di attività dettagliati, percorsi di audit, per poter dimostrare ed aiutare il titolare nel processo di conformità.

Agyo Privacy

La terza ed ultima software house presa in considerazione è TeamSystem, società italiana specializzata nel mercato delle soluzioni digitali di gestione business per imprese di ogni settore e dimensione, professionisti (commercialisti, consulenti del lavoro, avvocati, amministratori di condominio) ed associazioni.

Il 30 luglio 1979 per iniziativa del fondatore Giovanni Ranocchi viene costituita, insieme ai soci Giovanni Piantini e Francesco Madella la TeamSystem con la seguente denominazione “Teamsystem di Ranocchi G., Piantini G., Madella F. Snc”.

Vanta una vasta clientela fidelizzata, alla quale viene fornita consulenza e assistenza, con soluzioni che garantiscono un’ottima copertura per le diverse aree funzionali ed i differenti settori merceologici. Strategicamente il gruppo TeamSystem è orientato ad una seria politica di investimenti, con l’obiettivo di perfezionare ed aumentare continuamente la propria offerta sia in termini di tipologie di prodotti che di qualità dei servizi, con una primaria ed elevata attenzione ai reali bisogni della propria clientela.

La software house è continuamente impegnata nella ricerca e sviluppo di moderne soluzioni tecnologiche, in parallelo alle continue variazioni normative, ed è presente nell’ambito privacy con la soluzione software Agyo Privacy.

Agyo Privacy è una soluzione in cloud che permette all’utente utilizzatore, in maniera semplice e fluida, la produzione dei documenti necessari per l’adempimento e la compliance al nuovo regolamento.

Consente l’elaborazione di ciò cui l’azienda necessita per essere in regola con gli assessment, e generare in particolare le lettere di incarico, gestire la richiesta del consenso dei trattamenti, tenuta dei registri, fare un’analisi dei rischi dell’azienda e tanto altro. Il campo di applicazione e la clientela di Agyo Privacy includono imprese (aziende, start-up, studi professionali) che gestiscono gli adempimenti privacy in qualità di titolari, ed anche orientata ai consulenti privacy (commercialisti, avvocati, aziende IT), che effettuano i trattamenti e la gestione anche per conto terzi.

Segnalo anche qui la presenza del modulo per la gestione dei data breach, dove internamente alla sezione dedicata, vi è la possibilità di creare e gestire una comunicazione, indicando tutte le informazioni necessarie, il tipo di trattamento, la descrizione e la tipologia di dati coinvolti, la data ed il luogo della violazione accertata, restituendo e consentendo il salvataggio di un documento in formato PDF, poter apporre firma digitale ed inviarlo per la notifica al Garante, ove possibile entro e non oltre le 72 ore, come previsto da regolamento.

Conclusioni

Sono stati analizzati e considerati i migliori tool software disponibili e presenti sul mercato, in ambito data breach, utilizzando i classici criteri basilari e necessari per un’ottima software selection, che elenco sotto forma di consigli utili e pratici per chi deve effettuare la scelta e l’acquisto del tool più adatto.

Per prima cosa è importante a mio avviso, valutare l’azienda tenendo conto della sua esperienza specifica nel settore, certificazioni e referenze, numero di clienti.

Non acquistare mai un software o un prodotto a scatola chiusa, avere e pretendere se possibile un webinar o una demo, per poter verificare le funzionalità e le potenzialità, e soprattutto la validità del tool in questione.

Esaminare e verificare il “futuro” di un prodotto software, non concentrarsi sulle necessità operative a breve periodo, ma pensare al domani, agli aggiornamenti, adeguamenti, per evitare di trovarsi con una soluzione obsoleta, e doverne acquistare un’altra.

Servizio assistenza e post vendita, consiglio di verificar che disponga di un valido ed efficiente servizio al cliente/azienda, che possa fornire assistenza e formazione continua, non solo in caso di necessità.

Ultima, ma non meno importante, anche la valutazione del prezzo, in quanto scegliere un software esclusivamente in base al prezzo è un errore da evitare, l’acquisto potrebbe risultare troppo costoso e sovradimensionato, per cui è opportuno optare per una soluzione valida e proporzionata alle effettive necessità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5