La violazione dei dati può consistere, per esempio, in un accesso indesiderato, nella divulgazione non autorizzata, nell’alterazione, della indisponibilità, perdita o distruzione dei dati. Ma per renderci conto che tale evento si sia verificato il sistema deve essere organizzato per rilevare le eventuali violazioni.
Per esempio:
- la violazione potenziale dei dati di una cartella cartacea di un paziente in uno studio medico a causa di un accesso non autorizzato è rilevabile se l’armadio o il cassetto in cui la cartella stessa è contenuta, normalmente chiuso con una chiave di sicurezza, è stato forzato e risulta aperto. In questo caso il sistema di controllo non è automatico, si basa su un esame visivo della chiusura ed è possibile che siano stati violati i dati di tutti i pazienti contenuti in esso. Per fronteggiare il rischio è necessario adottare misure prevalentemente organizzative.
- la violazione potenziale dei dati di una cartella digitale di un paziente in uno studio medico è rilevabile se quella cartella o un gruppo di cartelle contenute in un raccoglitore digitale sia stato attaccato da uno spyware o da un trojan ovvero da un software dannoso, creato per accedere segretamente a un dispositivo senza che l’utente ne sia a conoscenza con l’obiettivo di raccogliere o trasferire dati. In questo caso il sistema di controllo è automatico ed è basato su un antivirus dotato di specifiche capacità di contrasto di questi specifici software dannosi. Se l’antivirus segnala di aver bloccato l’attacco la violazione non c’è stata, ma aumenta il rischio che essa possa avvenire; se l’antivirus segnala che non è in grado di rimuovere il software dannoso è possibile che siano stati violati i dati di tutti i pazienti contenuti in quel dispositivo. Per fronteggiare il rischio è necessario adottare misure prevalentemente tecnologiche.
La rilevazione della violazione può avvenire su segnalazione dell’interessato o di terzi, come nel caso di divulgazione non autorizzata in ambienti circoscritti ma anche su mezzi di informazione, social media o nell’alterazione dei dati rilevati durante un accesso autorizzato dell’interessato: a tale proposito è necessario predisporre un canale di comunicazione con l’interessato (per esempio un indirizzo di posta elettronica dedicato alla segnalazione di data breach) affinché questo possa tempestivamente informare il titolare di quanto sta avvenendo.
La rilevazione della violazione può avvenire durante una verifica del titolare, per propria iniziativa o su richiesta dell’interessato, come nel caso della rilevazione di indisponibilità, perdita o distruzione di dati. E’ fondamentale, in questo caso, avere a disposizione sempre una copia dei documenti (digitale e/o cartacea).
Anche quando la violazione non riguardi dati che mettono a rischio i diritti e le libertà delle persone fisiche essa viene comunque annotata nel registro Data Breach insieme alle violazioni per le quali si è, invece, resa necessaria la notifica al Garante e/o ai titolari.
Ogni violazione viene documentata e affrontata avviando una indagine che consiste in una analisi approfondita delle cause e delle responsabilità e nella determinazione dei trattamenti opportuni per eliminare o ridurre gli effetti dannosi conseguenti e le azioni correttive per impedirne il ripetersi.