Notifica Data Breach. Attacco Ransomware – Caso 1

Attacco Ransomware – i dati erano crittografati – backup recente – no esfiltrazione di dati. Bisogna considerarlo un data breach da notificare? A chi andrebbe notificato?

Per una adeguata valutazione del data breach i principali testi da prendere in considerazione sono:

Il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) 
Linee Guida sulla notifica delle violazioni dei dati personali WP250rev.01 redatte dal Gruppo di lavoro dei Garanti Europei
“Guidelines 01/2021 on Examples regarding Data Breach Notification” (attualmente in consultazione pubblica)

Premettiamo che è sempre necessario valutare caso per caso tutti gli elementi della violazione, anche considerato che casi che possono sembrare simili in realtà potrebbero avere un rischio, per i diritti e le libertà delle persone fisiche, differente.

Tuttavia, alla luce del documento “Guidelines 01/2021 on Examples regarding Data Breach Notification”, e la relativa valutazione di un caso analogo, qualora sussistano le seguenti circostanze, ovvero se:

i sistemi informatici sono stati esposti ad un attacco ransomware;
i dati memorizzati in questi sistemi erano crittografati con crittografia ritenuta all’avanguardia;
la chiave di decrittazione non è stata compromessa durante l’attacco, ovvero l’aggressore non poteva né accedervi né utilizzarla indirettamente;
non si registrano flussi di dati in uscita dall’azienda (ivi compresa la posta in uscita);
i dati coinvolti erano poche decide in tutto;
i dati possono essere ripristinati grazie alla disponibilità di un recente backup entro poche ore e senza grossi impatti sull’operatività quotidiana;

si può assumere che la violazione non ha comportato conseguenze sull’operatività quotidiana del titolare del trattamento (es ritardi nei pagamenti dei dipendenti o gestione delle richieste dei clienti).

“Di conseguenza, il rischio per i diritti e le libertà delle persone fisiche (ad oggi) sono ridotti al minimo.

Sulla gravità delle conseguenze per gli interessati, si potrebbero identificare solo conseguenze minori”

Le Guidelines pertanto indicano che:

Non è necessario notificare il Data Breach al Garante Privacy  
Non è necessario notificare il Data Breach agli interessati

Roberto Maraglino

Vedo gente, faccio cose. La mia prima parola è stata privacy, la seconda data breach. Mi occupo di data protection da tanto tempo, adesso sto cerando di smettere ma forse è tardi. Appassionato di tante cose, tante cose!