Come prevenire e gestire un Data breach

Nel momento in cui avvengono perdite o modifiche di dati oppure consultazione o accesso a dati non autorizzati si parla di violazione di dati personali. Non è importante solo la comunicazione all’Autorità Garante, è fondamentale anche essere in grado di tutelarsi e prevenire

Quando si parla di data breach?

Nel momento in cui avvengono perdite o modifiche di dati oppure consultazione o accesso a dati non autorizzati si parla di violazione di dati personali.

Il data breach può avvenire in due modi: accidentale, quando la violazione del dato è il risultato di una mancata applicazione della norma di sicurezza oppure una disattenzione o dimenticanza, e illecito, quando è considerato un evento doloso contro l’azienda che compromette la riservatezza e l’integrità del dato stesso.

Cosa fare in caso di data breach?

“Un titolare del trattamento subisce un attacco tramite ransomware che provoca la cifratura di tutti i dati presenti su server aziendali rendendo anche indisponibile l’utilizzo dei pc ai collaboratori per 3 giorni. Il veicolo? Un’e-mail corrotta, simulante il cambio delle coordinate bancarie di un fornitore consolidato e contenente un file zippato. Non sono disponibili backup e i dati non possono essere ripristinati. La società riceve inoltre una e-mail con richiesta di riscatto, all’interno della quale si millanta la “restituzione dei dati”.  

Il caso esemplificativo sopra riportato racchiude solo una delle più frequenti casistiche, come abbiamo visto, di violazioni di dati personali che le aziende si trovano quasi quotidianamente, ormai, a dover fronteggiare.

Vediamo in poche righe cosa prevede la norma e, ancora più utile, come essere proattivi al fine di scongiurare, per quanto nelle possibilità dell’azienda, la buona riuscita di questi attacchi. 

La nuova LPD, legge federale sulla protezione dei dati personali svizzera, prevede “la notifica di violazioni della sicurezza dei dati”. Di seguito l’articolo:

1 Il titolare del trattamento notifica quanto prima all’IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità e i diritti fondamentali della persona interessata.

2 Nella notifica il titolare del trattamento menziona almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste per rimediarvi.

3 Il responsabile del trattamento informa quanto prima il titolare del trattamento su ogni violazione della sicurezza dei dati.

4 Il titolare del trattamento informa la persona interessata sulla violazione della sicurezza dei dati, se ciò è necessario per proteggere la persona interessata o se lo esige l’IFPDT.

5 Il titolare del trattamento può limitare o differire l’informazione della persona interessata o rinunciarvi se:

a. sussiste uno dei motivi di cui all’articolo 24 capoversi 1 lettera b o 2 lettera b oppure un obbligo legale di serbare il segreto;

b. l’informazione è impossibile o richiede un onere sproporzionato; o

c. l’informazione è garantita in modo equivalente con una comunicazione pubblica.

6 Una notifica effettuata in forza del presente articolo può essere usata nel quadro di un procedimento penale contro la persona soggetta all’obbligo dinotifica soltanto con il suo consenso.”

Fondamentale nel momento in cui si presenta una violazione del dato è la comunicazione della stessa alle autorità di sorveglianza, importante sia nell’ottica della minimizzazione delle conseguenze avverse della violazione, sia in ottica preventiva, dato che un Data Breach colloca le aziende davanti alla prospettiva di un grave danno d’immagine, obbligandole ad analizzare e mettere in discussione la propria situazione in ambito di sicurezza.

Importante non è solo la comunicazione della violazione avvenuta al Garante, in primis bisogna imparare a tutelarsi e prevenire qualsiasi data breach. Vi sono delle concrete azioni che un titolare del trattamento può adottare in azienda per tutelarsi a fronte di casistiche simili come l’esempio sopracitato:

  • creare consapevolezza e sensibilizzare i collaboratori in tal senso;
  • definire le politiche di privacy by design e by default con riferimento ai sistemi attraverso i quali vengono trattati i dati;
  • prevedere misure di sicurezza tecniche, da applicare preventivamente al fine di proteggere i sistemi e successivamente, al fine di limitare eventuali danni e proteggere i sistemi non ancora intaccati;
  • verificare le azioni che i fornitori, che trattano dati per conto nostro devo porre in essere, nei tempi giusti, per contenere il potenziale rischio;
  • testare la conoscenza interna sulla tematica e la proattività nella gestione di simili accadimenti: la tempistica di reazione è fondamentale;
  • prevedere prassi e procedure scritte per la gestione di tali accadimenti;  
  • individuare e formalizzare la matrice da utilizzare per analizzare l’impatto connesso alla violazione dei dati personali.

Le società devono dunque essere consapevoli dei rischi legati alle violazioni di dati personali che espongono l’azienda a rilevanti impatti anche in termini di potenziali perdite economiche, danno di immagine, carenza nella disponibilità di erogazione dei servizi ai clienti.

È importante dunque strutturare delle corrette politiche di prevenzione che devono essere applicate e rispettate in azienda da tutta la popolazione operante sotto il controllo del titolare del trattamento.

Previeni un data breach
grazie ai nostri professionisti

Articolo a cura di Roberta De Giusti | Data Protection Consultant, Privacy Desk Suisse

Condividi:

Articoli recenti

Trova altre notizie
Tutte le notizie

Richiedi consulenza

Per ricevere informazioni sui nostri servizi compila il modulo di contatto qui a fianco e un nostro incaricato ti contatterà al più presto.

+41 91 921.00.38

info@privacydesk.ch

Cliccando su INVIA Lei dichiara di aver preso visione dell'informativa privacy per finalità a) e b) — informativa ai sensi della LPD.

© 2025 Privacy Desk Suisse SA. Tutti i diritti riservati.    |   Privacy Desk Suisse SA    |   6900 Lugano, Corso Elvezia n. 16  |   Privacy Notice    |   Cookie Policy