Notifica Data Breach. Attacco Ransomware. caso 2

Attacco Ransomware – i dati erano crittografati – non c’è backup completo – no esfiltrazione di dati. E’ necessaria la notifica del data breach? A chi andrebbe notificato?

Per valutare se è necessaria o meno la notifica del data breach al Garante Privacy e/o agli interessati, i principali testi da prendere in considerazione sono:

Il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) 
Linee Guida sulla notifica delle violazioni dei dati personali WP250rev.01 redatte dal Gruppo di lavoro dei Garanti Europei
“Guidelines 01/2021 on Examples regarding Data Breach Notification” (attualmente in consultazione pubblica)

Premettiamo che è sempre necessario valutare caso per caso tutti gli elementi della violazione, anche considerato che casi che possono sembrare simili in realtà potrebbero avere un rischio, per i diritti e le libertà delle persone fisiche, differente.

Tuttavia, alla luce del documento “Guidelines 01/2021 on Examples regarding Data Breach Notification”, e la relativa valutazione di un caso analogo, qualora sussistano le seguenti circostanze, ovvero se:

un computer è stato oggetto di un ransomware e i suoi dati sono stati crittografati;
sono stati crittografati dati personali (non sono coinvolti dati particolari);
non c’è stata esfiltrazione;
non si registrano flussi di dati in uscita dall’azienda;
i dati coinvolti erano poche decine in tutto;
non è disponibile un backup recente in formato elettronico;
la maggior parte dei dati sono stati ripristinati da backup cartacei;
il ripristino dei dati ha richiesto circa 5 giorni lavorativi;
si può assumere che la violazione ha comportato lievi ritardi nella consegna degli ordini ai clienti.

“Di conseguenza, ci sono dei rischi per i diritti e le libertà degli interessati che derivano dalla mancanza di disponibilità dei dati personali”.

E’ dunque necessaria la notifica del Data Breach

Le Guidelines pertanto indicano che:

È necessario notificare il Data Breach al Garante Privacy    

Non è necessario notificare il Data Breach agli interessati

Roberto Maraglino

Vedo gente, faccio cose. La mia prima parola è stata privacy, la seconda data breach. Mi occupo di data protection da tanto tempo, adesso sto cerando di smettere ma forse è tardi. Appassionato di tante cose, tante cose!