Data Breach. Casi e prassi

Data Breach. Casi e prassi

COS’È UN DATA BREACH?

https://www.garanteprivacy.it/documents/10160/0/immagine+data+breach+4+%283%29.jpg/47dc6b05-e007-06fe-c749-b6ad4f2e27c9?t=1547204308041

Aggiornamento del 27/08/2019

Vediamo cosa prevede il modello di comunicazione dei data breach redatto dal Garante Privacy:

Tipi di Violazioni: Ci sono tre tipologie di violazione (come avevamo già definito in un nostro prevcedente articolo sul tema) e nel modello bisogna indicare a quale delle tre appartenga.

  1. Violazione della confidenzialità: Consiste nella diffusione o accesso non autorizzato o accendentale;
  2. Violazione dll’integrità: Consite in una modifica non autorizzata o accedentale;
  3. Violazione della disponibilità: impossibilità di accesso, perdita, distruzione non autorizzata o accidentale.

Effetti. Il Compilatore deve indicare i potenziali danni per gli interessati che possono attenere a danni economici, reputazionali, furti di identità ecc…

Dettagli. In questa sezione è necessario descrivere compiutamente l’incidente di sicurezza indicando le categorie di dati personali, i sistemi e le infrastrutture IT coinvolti, la loro ubicazione e le misure tecniche di sicurezza e organizzative adottate per prevenire ulteriori incidenti.

Dati. é necessario indicare quali dati personli e particolari sono stati oggetto dell’incidente come PIN, password, dati fiscali, sulla salute ecc… Inoltre indicare il numero approssimativo dei dati personali violati.

Comunicazione agli interessati. Il modello chiede se è stato comunicato agli interessati o sta per essere fatto l’incidente. Se questo non fosse è necessario motivarlo. Il garante vuole anche sapere le modalità con cui è stata effettuata la comunicazione agli interessati.

Dove comunicarlo: La comunicazione deve essere effettuata all’indirizzo pec protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma qualificata/firma digitale) dal titolare del trattamento oppure con firma autografa (e con documento di riconoscimento allegato).

L’oggetto del documento deve contenere necessariamento la dicitura: “notifica violazione dati personali” e opzionalmente la denominazione del titolare del trattamento

 

—————————————————————————————————–

Un Data Breach è un incidente di sicurezza che ha come conseguenza la diffusione, la distruzione, la perdita o la modifica non autorizzate di dati confidenziali come indirizzi, numeri di telefono o e-mail, username e password, dati bancari o numeri di carte di credito, PIN e così via. Risultati immagini per data breach

Tali violazioni possono avvenire durante la conservazione, la trasmissione o, più in generale, qualunque trattamento effettuato sui dati stessi.

PERCHE AVVENGONO I DATA BREACH?

Un Data Breach può avvenire per motivi volontari o involontari. Ad esempio:

  1. perdita accidentale: data breach causato ad esempio da smarrimento di una chiavetta USB con contenuti riservati;
  2. furto: data breach causato ad esempio da furto di un notebook con all’interno dati confidenziali/riservati
  3. infedeltà aziendale: data breach causato ad esempio da un dipendente/persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia da distribuire in ambiente pubblico;
  4. accesso abusivo: data breach causato ad esempio da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisiti

COSA FARE PER PREVENIRE I DATA BREACH?

La prevenzione dei data breach passa attraverso la predisposizione di opportune contromisure. In linea di massima, il punto di partenza è sempre quello di fare un’analisi del Rischio. Partendo da ciò che si fa e dal perché lo si fa, cioè di fatto mission e funzioni, si passa a analizzare come lo si fa, e quindi processi e servizi, e cosa occorre per farlo, cioè gli asset. Un’informazione (anche personale è un asset). Fatto questo, si passa a analizzare le minacce agli asset, ad esempio incendi, terremoti, malware, hacker, furti ecc, e le vulnerabilità che permettono a queste minacce di operare.

I Rischi così individuati possono essere mitigati attraverso opportune contromisure. Nel seguito vedremo alcune di esse:

  1. obblighi legali – la privacy e la sicurezza dei dati sono affrontate in leggi specifiche, come ad esempio il GDPR, ma anche in leggi e regolamenti specifici per un determinato ambito come il caso dei dati sanitari o dei dati giudiziari. Seguire le prescrizioni relative e gli aggiornamenti evita di esporsi a problemi giudiziari o multe. Inoltre, in caso di violazione dei dati, il rispetto delle normative è la prima cosa che viene controllata.
  2. Policy di sicurezza dei dati – è il documento principale che deve essere prodotto e a cui deve sottostare l’ente nel suo complesso. Esso dettaglia le best practice, gli standard e le procedure che devono essere seguiti per massimizzare la sicurezza dei dati. Deve riguardare la conservazione dei dati, sia fisici che digitali, il loro trasporto, le modalità di accesso (CRUD – Create, Read, Update, Delete), le responsabilità e così via
  3. Policy per l’utilizzo degli apparati aziendali – in questo documento vengono affrontate tutte le problematiche relative all’utilizzo degli strumenti che un ente mette a disposizione dei suoi dipendenti e consulenti. E’ lecito portare a casa un computer portatile? E possibile usarlo a fini privati? Che complessità devono avere le credenziali di accesso? Cosa deve essere fatto quando un computer, portato temporaneamente all’esterno dell’ente vi rientra? Deve essere definita una procedura di quarantena? E’ possibile scaricare software? Cosa fare quando un dipendente lascia l’ente?
  4. Autorizzazione degli utenti – gli utenti devono ricevere solo i privilegi strettamente necessari per le operazioni che devono compiere. Inoltre, i privilegi non dovrebbero mai essere attribuiti direttamente agli utenti ma dovrebbero seguire paradigmi come RBAC (Role Based Access Control), cioè gli utenti dovrebbero, sulla base dei loro ruoli aziendali, essere aggregati in gruppi e i privilegi dovrebbero essere attribuiti a questi ultimi. Anche i gruppi dovrebbero essere strutturati in modo da ricevere solo i privilegi strettamente necessari
  5. Automatizzazione – è stato valutato che l’errore umano è il primo responsabile dei data breaches ed è normalmente il prodotto di una bassa cultura della sicurezza, di una gestione inaccurata, negligente e incontrollata dei dati, dell’utilizzo ad esempio di password deboli e così via. Automatizzare i processi laddove possibile permette di far lavorare le persone in modo controllato e standardizzato. Inoltre, l’adozione di controlli automatici permette di prevenire e contrastare l’errore umano prima ancora che si verifichi il problema come, ad esempio, il controllo automatizzato della complessità delle password o l’uso di configurazioni dei sistemi operativi che impediscano l’installazione di software non approvato dall’ente.
  6. Promozione di consapevolezza della sicurezza – le persone sono la prima linea di difesa se opportunamente educate e formate
  7. Uso della criptazione laddove possibile – criptare i dati, stazionari e in movimento, con meccanismi di complessità adeguata è un ottimo modo per affrontare il problema dell’integrità e dell’accesso ai dati
  8. Tracciamento e Monitoraggio – l’accesso ai dati e tutte le funzioni eseguite su essi devono essere tracciati in tempo reale e i log prodotti devono essere conservati con tutta la cura possibile per il tempo richiesto dalla legge e dai regolamenti interni. Oltre alle verifiche in tempo reale devono essere fatti periodicamente Audit da parte di consulenti esterni.
  9. Backup dei dati – il backup dei dati permette il ripristino nel caso di eventi distruttivi. La frequenza dei backup, i tempi di conservazione dei backup, la scelta dei supporti dei backup e la loro modalità di conservazione devono tutti essere scelti in modo compatibile all’importanza dei dati e all’analisi del rischio effettuata in precedenza. Attenzione al fatto, ovviamente, che la qualità di un backup dipende dalla qualità del dato di partenza: se quest’ultimo era già corrotto anche il backup presenterà lo stesso problema
  10. Gestione delle patch – l’adeguamento di software e sistemi operativi via via che vengono individuate nuove vulnerabilità deve essere fatto con la massima priorità possibile, soprattutto nel caso di patch di sicurezza ma non essere precipitoso in tutti gli altri casi. Prima di installare una patch devono sempre essere effettuati i backup e le patch devono sempre essere provate in un ambiente di test prima dell’installazione in ambiente di produzione.

COSA È UN DATA BREACH RESPONSE PLAN?

Nel momento in cui si verifica un incidente, o data breach, è importante muoversi in maniera coordinata e precisa, sulla base di responsabilità chiare e preventivamente definite, in modo da evitare di agire in modo potenzialmente nocivo in preda al panico. Un Data Breach Response Plan è un insieme di procedure e risorse che vengono messe in atto in occasione di un incidente allo scopo di:

  1. Rispondere all’emergenza e evitare ulteriori danni. In questa fase occorrerà raccogliere le informazioni sull’incidente, documentare tutto insieme a data e ora di accadimento, agire per priorità sulla base dell’analisi del rischio, comunicare con tutti gli Stakeholder diffondendo le informazioni necessarie, mettere in sicurezza le aree coinvolte e allertare se necessario le autorit
  2. Investigare le cause, preservando le evidenze in caso di un’ulteriore prosecuzione giudiziaria.
  3. Ripristinare i sistemi compromessi.

Una volta creato il Piano, esso andrà periodicamente verificato tramite opportuno audit

COS’È UNA DATA BREACH POLICY?

Risultati immagini per procedure

La Data Breach Policy è un documento in cui l’ente o l’azienda, sulla base della propria mission e dei dati trattati, rende nota la procedura da seguire per assicurare un approccio efficace e consistente alla gestione dei data breach e agli incidenti di sicurezza. L’obiettivo della policy deve essere quello di minimizzare il rischio associato con il breach e delineare le azioni da compiere per ridurre le perdite e ripristinare velocemente la normale operatività. Essa deve dichiarare prima di tutto a chi è applicabile (ad esempio, se l’ente è un’università, allo staff, agli studenti, ai consulenti e ai fornitori). Tra gli argomenti che devono sicuramente comparire ci sono:

  1. i ruoli e le responsabilità, eventualmente con le indicazioni dell’orario di lavoro delle varie figure coinvolte e delle modalità di contatto (telefono, e-mail ecc.)
  2. le informazioni da raccogliere per dettagliare il breach (data e ora, nome di chi compila il rapporto, natura dell’informazione coinvolta e la sua sensibilità, descrizione dell’evento, impatto su cose e persone, estensione)
  3. procedure disciplinari o impatto giudiziario, quando applicabile, nel caso di cattivo comportamento accertato
  4. modalità di contenimento e ripristino
  5. contromisure in essere
  6. modalità di comunicazione verso l’interno, le autorità, la stampa e eventuali terzi coinvolti
  7. modalità di revisione della policy (ogni quanto tempo deve essere effettuata e con quale iter)
  8. template del report da compilare nel caso di data breach

COSA FARE IN CASO DI UN DATA BREACH?

Nel caso in cui ci si dovesse accorgere di essere stati vittima di un data breach la prima cosa da fare è quella di non farsi prendere dal panico e agire in modo scomposto ma, anzi, applicare subito le procedure previste dalla policy. Relativamente al punto 6 della domanda precedente e cioè all’aspetto della comunicazione, il GDPR prevede espressamente l’obbligo di notifica da parte del Titolare qualora si sia in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.

In particolare, l’art. 33 impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza, e cioè nel momento in cui ha ragionevole certezza dell’avvenuto data breach. L’eventuale dolo da parte del Titolare verrà valutato a posteriori qualora emerga dall’indagine la carenza di contromisure appropriate. L’obbligo di notifica tempestiva impegna anche il responsabile nei confronti del Titolare, il quale verrà considerato a conoscenza nel momento in cui sarà avvenuta tale comunicazione. La notifica deve almeno (art. 33 GDPR):

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

L’Autorità di controllo a cui fare la notifica (via PEC all’indirizzo: protocollo@pec.gpdp.it) del data breach ha carattere nazionale. Nel caso dell’Italia è il Garante per la protezione dei dati personali (Garante Privacy). Qualora un’ente o una società operi in più paesi e sia quindi potenzialmente sotto la giurisdizione di più autorità il GDPR ha introdotto il principio dello sportello unico (one stop shop) che è l’autorità di controllo del paese dove si trova la sede principale e che coopererà con le altre in caso di data breach con impatto transfrontaliero. Qualora, invece, l’impatto sia locale, l’autorità di riferimento sarà quella del paese ove avviene il trattamento che è stato oggetto di data breach. Oltre alla comunicazione della violazione all’autorità di controllo, il Titolare dovrà anche provvedere a dare comunicazione senza ingiustificato ritardo al diretto interessato qualora il data breach sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche

DOVE TROVARE I RISULTATI DI UN DATA BREACH?

Nel caso di furto di dati personali e/o sensibili gli autori del fatto, se si esclude un utilizzo diretto, possono decidere o di metterli in vendita sul mercato nero (verosimilmente il cosiddetto Dark Web) o di pubblicarli in chiaro, a fine dimostrativi, su siti spesso usati a questo fine come https://ghostbin.com/ o https://pastebin.com/ magari annunciandone la presenza su social network come Twitter.

Un altro posto dove ad esempio cercare se la nostra account e-mail è stata hackerata è “Have I been pwned?” https://haveibeenpwned.com/

Qui di seguito alcuni articoli online sul prezzo dei dati personali sul mercato nero:

PRASSI OPERATIVA E ISTRUZIONI

Risultati immagini per cyber security

I virus costituiscono una delle principali minacce per le organizzazioni e sono attualmente causa di  numerosi Data Breach. La gestione della minaccia cibernetica, all’interno delle organizzazioni non può essere delegata totalmente ed esclusivamente al personale dei sistemi informativi (CED o information Technology). Infatti per le mansioni relative specificamente alla sicurezza delle informazioni è prevista una formazione specifica e continua in ambito di sicurezza informatica e/o delle informazioni.
Data la complessità delle attività all’information security, è necessaria una struttura basata su un team di tecnici con conoscenze specifiche per poter valutare i rischi di sicurezza da prospettive eterogenee, offrendo così un servizio completo e strutturato.

La gestione delle minacce cibernetiche, inoltre, richiede di consultare quotidianamente piattaforme informative in materia di cyber security come, ad esempio, il servizio di Early Warning, di Cert-PA, accessibile all’indirizzo www.cert-pa.it. Risultati immagini per Cert-PA,

In definitiva ciascuna organizzazione, per mitigare l’aumentato rischio di attacchi informatici, deve implementare la struttura organizzativa competente per la gestione di sistemi informativi con figure professionali aventi competenze ed esperienze specifiche in materia di sicurezza informatica o, in alternativa, deve supportare la struttura organizzativa medesima con servizi per il funzionamento delle p.a. (acquisibili anche sul MePA per la PA), e aventi ad oggetto il supporto professionale, di natura specialistica, al responsabile della sicurezza informatica che coincide, com’è noto, con la figura del responsabile alla transizione al digitale.

Data Breach da Virus Ransomware

I virus informatici rientrano tra le principali minacce per le organizzazioni e sono attualmente causa di numerosi Data Breach.
Secondo l’Allegato alla Relazione sulla politica dell’informazione per la sicurezza 2018 costituito dal Documento di sicurezza nazionale gli attacchi verso Pubbliche Amministrazioni, ministeri, contro infrastrutture IT riconducibili ad enti locali sono aumentati fino anche al 500%.

Le citate attività sono da ascrivere in larga parte ad azioni di stampo “hacktivista”, tra cui la richiamata campagna “#OpBlackWeek”, volta a screditare le Istituzioni nazionali, ad opera delle principali crew attive nel panorama italiano: Anonymous Italia, LulzSec ITA ed AntiSec ITA.

L’infezione di un sistema da parte di un virus informatico (malware, ransomware, ecc.), si configura come Data Breach, nel caso in cui, a causa di quest’ultimo:

  • risulti impossibile accedere ai dati personali, anche parzialmente;
  • ci sia stata divulgazione o furto dei dati.

Ciò premesso, la disciplina degli articoli 33 e 34 del GDPR prevede che, in caso di Data Breach il titolare
del trattamento:
• debba notificare, ove possibile, entro 72 ore, la violazione dei dati personali all’autorità di controllo;
• debba comunica la violazione a tutti gli interessati coinvolti, nel minor tempo possibile, qualora la
violazione dei dati personali presenti un rischio elevato per i diritti delle persone.

Fondamentali alcuni richiami al GDPR:

Analisi dei rischi, prevenzione e gestione del Data Breach informatico

1. Analisi del livello di rischio

Una valutazione completa del livello di rischio informatico, non può prescindere dall’eseguire una
Vulnerability Assessment.
Premesso che l’attività di VA è inserita all’interno delle misure minime di sicurezza AgID (ABSC ID
4); quest’ultima consente di documentare in modo esplicito il corretto mantenimento dei livelli di sicurezza e di protezione dei sistemi. Oltre alla funzione di rilevare problematiche di sicurezza di pc,
stampanti ecc., presenti all’interno dell’ente, da essa ricaviamo un elenco di tutti gli asset informatici che
concorrono nei processi di trattamento dei dati personali.
Quindi dall’analisi del report generato dalla VA, è possibile predisporre le adeguate azioni per la messa in sicurezza dei sistemi ed infine procedere alla valutazione completa ed oggettiva dei rischi

2. Prevenire i Data Breach informatici
Per ridurre le probabilità di contrarre “Data Breach informatici” e mitigarne gli effetti nel caso ciò si
verificasse, è necessario conoscere a quali minacce e/o rischi a cui si è maggiormente esposti e quali
contromisure di sicurezza adottare per prevenirle. Di seguito si riporta un elenco, non esaustivo, che può aiutare nel processo di attenuazione del rischio derivante da Data Breach:

  • applicare le misure AgID (minime, standard e avanzate);
  • effettuare periodicamente una vulnerability assessment;
  • accedere ai servizi di early warning per rimanere aggiornati sulle nuove vulnerabilità di sicurezza
    (Cert PA);
  • gestire i Data Breach informatici.

La gestione delle violazioni dei dati deve essere condotta mettendo in atto le seguenti principali misure

  • applicare la procedura di gestione di cui il titolare deve essere dotato;
  • compilare il registro delle violazioni;
  • notificare la violazione all’Autorità;
  • comunicare in modo tempestivo la violazione agli interessati.

In ordine a quest’ultimo profilo, quanto più a lungo un evento non viene segnalato, tanto più a lungo
una vulnerabilità può rimanere irrisolta consentendo all’evento di intensificarsi o di agevolare il verificarsi di ulteriori incidenti. Senza una tempestiva visibilità dell’incidente attraverso la segnalazione,
l’ente potrebbe non essere in grado di adempiere ai propri obblighi normativi. Il regolamento generale
sulla protezione dei dati (GDPR) dell’UE impone alle organizzazioni di segnalare alcuni tipi di violazioni
dei dati personali entro 72 ore dalla presa di coscienza della violazione. Comprendere la causa delle violazioni consente di sviluppare e implementare sistemi e processi più solidi per prevenire future
violazioni e proteggere i dati personali.
In caso di Data Breach, la notifica di violazione dei dati personali al garante potrebbe avvenire tramite la compilazione di un modello standard, disponibile sul sito dell’Autorità Garante. Abbiamo già definito sopra i contenuti minimi della segnalazione.
Al fine di sottolineare l’importanza dell’adozione da parte dell’ente, di una strategia di sicurezza informatica, si evidenzia come anche l’Autorità garante, nel modello di segnalazione di violazione, abbia inserito un quesito specifico: “Quali misure tecnologiche e organizzative sono state assunte per contenere la violazione dei dati e prevenire simili violazioni future?”.
I Data Breach di tipo informatico, sono intrinsecamente complessi, e pongono le organizzazioni e gli enti in situazioni di oggettiva difficoltà nella definizione del perimetro di azione degli stessi, risulta quindi difficoltosa anche una corretta valutazione degli effetti diretti e indiretti. A tal proposito è stato inserito l’esempio seguente, riguardante nello specifico, una violazione dei dati derivante da virus informatico, ransomware (generalmente questi tipi di virus inibiscono l’accesso ai dati, con tecniche di cifratura e richiedono un riscatto in criptovaluta).
A titolo di esempio, di seguito si propone la procedura “Data Breach” adottata da FormezPA).

Databreach da Virus (VALUTAZIONE DEI RISCHI)

Un Data Breach da virus espone l’organizzazione a molteplici rischi, che devono essere valutati considerando cospicue prospettive. Spesso tale valutazione non è né semplice né immediata, a tal proposito si riporta un caso pratico.
Esempio
Un’infezione da ransomware (software dannoso che cifra i dati del titolare del trattamento finché non
viene pagato un riscatto) potrebbe comportare una perdita temporanea di disponibilità nel caso in cui i
dati possono essere ripristinati da un backup.
Tuttavia, si è comunque verificata un’intrusione nella rete informatica dell’organizzazione e potrebbe essere richiesta una notifica, nel caso in cui l’incidente sia qualificabile come violazione della riservatezza
(ad esempio se chi ha effettuato l’attacco ha avuto accesso a dati personali) e ciò presenta un rischio
per i diritti e le libertà delle persone fisiche.
(Esempio tratto dalle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679” adottate il 3 ottobre 2017, versione emendata e adottata in data 6 febbraio 2018).
L’attività principale di un virus di tipo ransomware è nelle prime fasi, ottenere il maggior numero di informazioni relative al sistema utilizzato dalla vittima, compresi gli antivirus utilizzati. In questo modo il software malevolo ha più possibilità di sferrare un attacco efficace.
Di seguito si riporta lo schema di funzionamento del Ransomware GandCrab 5.2

Tipo Virus: ransomware


«Nome virus: GandCrab 5.2»
Risultati immagini per GandCrab 5.2GandCrab è un virus scoperto agli inizi dell’anno 2018, durante il mese di aprile 2019, il CERT-PA rilevava attività volte a veicolare il virus tramite messaggi di posta elettronica, allegando un file di tipo WORD (.doc) nel quale era contenuta una macro malevola.

L’apertura di tale file e di conseguenza l’esecuzione della macro in esso contenuta.

1) In particolare, il virus avvia un processo al fine di verificare che nel computer da “infettare” non sia presente uno dei seguenti antivirus:
Kaspersky, ESET, AntiVir, Avast, Norton, McAfee, Panda, Sygate Firewall, Kerio Personal Firewall,
Trendmicro, F-Secure, Comodo, Windows Defender
Superata questa fase, il virus effettua le seguenti attività:
1) verifica della presenza di cartelle condivise;
2) ricerca un file denominato “IIPTHBGFBL-MANUAL.txt” utilizzato per fornire le istruzioni di
pagamento;
3) cripta i file presenti nel sistema;
4) attira l’attenzione ed informa sostituendo l’immagine di sfondo del desktop, circa l’avvenuta
infezione e/o pagamento.
Il Virus inoltre apporta modifiche al sistema, inserendo le seguenti variabili.
pc_user=USER; pc_name=HOSTNAME; pc_group=WORKGROUP; pc_lang=it-IT; pc_keyb=0;
os_major=Windows 7 Ultimate; os_bit=x64; ransom_id=15Chars Hex; Nell;hdd=C:FIXED_<CODE>/<
CODE>,E:REMOTE_<CODE>/<CODE>&”.

Nell’immagine sotto riportata, l’elenco delle estensioni dei file a cui verrà applicato il processo di crittografia, rendendoli così inutilizzabili.

Di seguito si riporta l’immagine desktop utilizzata dal virus.
Terminate le attività di cifratura il virus invia il tutto al server hXXp://www[.]kakaocorp[.]link/.

 

PROCEDURA OPERATIVA DI SEGNALAZIONE ALL’AUTORITA’ GARANTE

La procedura è stata modificata il 30 Luglio 2019 con il Provvedimento del Garante sulla notifica delle violazioni dei dati personali (data breach) – 30 luglio 2019 [9126951] che ha eliminato e sostituito i termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali indicati nel provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 (punto 1), nelle linee guida in materia di Dossier sanitario del 4 giugno 2015 (punto 2), nel provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 (punto 2);  nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013, nonché nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011 (punto 5.2).

I soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, che forma parte integrante del presente provvedimento, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante;

Fonti:

https://www.cert-pa.it/wp-content/uploads/2019/06/Data-Breach.pdf

https://www.garanteprivacy.it/regolamentoue/databreach

 

 

wemapprivacy

wemapprivacy

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Vai alla barra degli strumenti