Lo studio supporta le aziende nella gestione di data breach e incidenti informatici, utilizzando tecniche e metodologie di forensic readiness atte a permettere il monitoraggio, la raccolta, l’acquisizione, la conservazione e la produzione di prove digitali ricavate da evidenze informatiche. Risulta essenziale, infatti, nell’ambito del GDPR, poter far fronte in maniera strutturata ad eventuali violazioni di dati e attacchi informatici con una struttura e metodologia in grado di rilevare eventuali attività anomale, acquisire prove informatiche, analizzare quanto avvenuto e valutare l’impatto sui dati e sugli interessati, così da poter adempiere alle prescrizioni del GDPR.
Come è noto, con l’entrata in vigore del GDPR i titolari del trattamento dei dati delle aziende dovranno essere in grado di rilevare eventuali data breach (violazioni dei dati) e notificare al Garante il data breach entro 72 ore dal momento in cui se ne è venuti a conoscenza, fornendo ulteriori particolari circa dati coinvolti e misure di protezione messe in atto. La violazione di dati va a identificare un eventuale attacco o intrusione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (Art. 4 p.12 GDPR).
L’obbligo di notifica da parte del Titolare scatta se il data breach comporta un rischio per i diritti e le libertà delle persone fisiche: qualora il rischio fosse elevato, oltre alla notifica, il titolare è tenuto a darne comunicazione all’interessato.
Il rispetto degli obblighi di notifica (art. 33 GDPR) e di comunicazione (art. 34 GDPR) in aziende con dimensioni mediamente rilevanti implica che il Titolare si appresti a strutturare il trattamento dei dati personali mediante un sistema di conformità e gestione del rischio che contempli anche la gestione degli incidenti (incident response) e la continuità operativa (business continuity).
Il sistema di incident response e business continuity a supporto del GDPR – unito con tecniche di digital forensics e informatica forense – deve essere in grado rispettare i requisiti di trasparenza, evidenza e responsabilità prescritti dal regolamento, poiché l’art. 24 p. 1 del GDPR impone al titolare di “mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR”.
Esisteva anche prima del GDPR l’obbligo di notifica delle violazioni di dati personali per particolari categorie di titolari come società telefoniche, internet provider, pubbliche amministrazioni, strutture sanitarie pubbliche e private. La novità del GDPR, le cui sanzioni diventano applicabili dal 25 maggio 2018, è l’estensione dell’obbligo a tutti i titolari.