← Sicurezza

Procedura notifica violazioni di dati personali (data breach)

Riferimento normativo: artt. 33-34 GDPR (Regolamento UE 2016/679); Provvedimento Garante 30 luglio 2019 n. 157.

Versione: 1.0 Data: 2026-05-19 Owner della procedura: founder MindBitLabs (fino a designazione DPO). Email monitorata 24/7: breach@hydradent.com

1. Definizione di data breach

"Violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati" — art. 4 par. 12 GDPR

Esempi specifici Hydradent:

  • Compromissione account Convex Dashboard staff Hydradent → esposizione dati di N studi
  • Compromissione account Clerk titolare studio → esposizione dati di 1 studio
  • Bug software con esposizione dati cross-org (es. paziente A visibile a studio B)
  • Sub-processor breach (es. Convex, Backblaze) → notifica derivata
  • Furto laptop staff Hydradent con accesso prod → potenziale esposizione
  • Errore di invio email (Resend manda magic link al destinatario sbagliato)
  • Errore signed URL B2 (TTL troppo lungo + URL diffuso pubblicamente)

2. Timeline obbligatorie

Time Cosa Riferimento
T+0 Rilevamento o ricezione segnalazione breach
T+1h Triage iniziale: confermare evento, scope preliminare, blocco emorragia Buona pratica EDPB
T+24h Notifica al titolare (= studio cliente) — vedi sezione 4.1 DPA art. 28 par. 3 lett. f
T+72h Notifica al Garante (se ricorrono condizioni art. 33) art. 33 GDPR
T+72h Notifica agli interessati (= pazienti) se rischio elevato art. 34 art. 34 GDPR
T+30gg Report post-mortem e revisione misure Buona pratica EDPB

3. Fasi operative

3.1 Rilevamento

Canali di rilevamento:

  1. Email breach@hydradent.com monitorata 24/7 (notifiche push smartphone)
  2. Sentry alerts per spike di errori 5xx, accessi anomali
  3. Convex Dashboard alerts per query inusuali, error rate
  4. Sub-processor notifiche (Convex, B2, Clerk, Resend, ecc.)
  5. Segnalazione cliente studio via security@hydradent.com
  6. Disclosure pubblica vulnerability (futuro: bug bounty)

3.2 Triage (T+0 → T+1h)

Domande critiche da rispondere:

  1. Quali dati sono coinvolti? (categorie + numero record approssimativo)
  2. Quante org/pazienti impattati?
  3. La violazione è in corso o terminata?
  4. Possiamo bloccare l'emorragia immediatamente?
  5. C'è rischio di abuso/diffusione?

Azioni immediate:

  • Rotazione credenziali compromesse (Clerk session revoke, Convex env rotate, Backblaze key)
  • Blocco IP / origin compromessi (Cloudflare WAF rule)
  • Snapshot stato attuale per analisi forense (Convex export DB)
  • Comunicare internamente al team (founder + futuro staff)

3.3 Assessment (T+1h → T+24h)

Documentare per ogni breach:

  • Natura della violazione (chi/cosa/come/quando)
  • Categorie di dati coinvolti (anagrafica, cartella clinica, fatture, ecc.)
  • Numero approssimativo soggetti coinvolti
  • Conseguenze probabili (esposizione → uso fraudolento? diffusione?)
  • Misure adottate per attenuare effetti

Output: breach-report-YYYYMMDD-HHmm.md salvato in docs/incidents/. Stato append-only, no edit (solo addendum).

3.4 Notifica al titolare studio (T+24h)

Obbligatorio sempre: il processor deve notificare al titolare ogni breach, senza valutazione di rischio (DPA art. 28 par. 3 lett. f + standard SaaS).

Canale: email a tutti i titolari delle org impattate da breach@hydradent.com + post in /impostazioni/sicurezza per ogni org.

Template in sezione 5.

3.5 Valutazione rischio per notifica Garante (T+24h → T+72h)

Notifica al Garante obbligatoria se "presumibilmente comporta rischio per i diritti e le libertà delle persone fisiche" (art. 33 par. 1 GDPR).

Linee guida EDPB: notificare se almeno uno dei seguenti:

  • Dati sensibili (categoria speciale art. 9) → SI (cartella clinica è sempre art. 9)
  • Possibilità di danno reputazionale / discriminazione
  • Possibilità di danno economico (furto identità, frode)
  • Coinvolge minori
  • Numero significativo di interessati

Per Hydradent: salvo casi banali (es. errore typing email senza payload sensibile), la notifica Garante è quasi sempre dovuta per la natura sanitaria dei dati.

Come notificare: portale Garante online https://servizi.gpdp.it/databreach/s/

Cosa serve:

  • Identificazione titolare (= studio cliente)
  • Identificazione processor (= Hydradent)
  • Natura della violazione
  • Categorie/numero interessati
  • Conseguenze probabili
  • Misure adottate

3.6 Notifica agli interessati (T+72h, se rischio elevato art. 34)

Solo se rischio elevato:

  • Dati sensibili massivamente esposti (>100 cartelle cliniche complete pubbliche)
  • Vulnerabilità che permette accesso continuativo non bloccato
  • Diffusione su canali pubblici (dark web, social, leak site)

Non necessario se:

  • Dati cifrati e chiave non compromessa
  • Misure successive hanno annullato il rischio
  • Sforzo sproporzionato → comunicazione pubblica generica

Canale: il titolare (studio) notifica i propri pazienti — Hydradent fornisce template + lista pazienti coinvolti.

3.7 Post-mortem (T+30gg)

Output:

  • Root cause analysis (5 Whys)
  • Timeline ricostruita
  • Lezioni apprese
  • Modifiche procedure / codice per prevenire ricorrenze
  • Revisione DPIA se applicabile

Salvato in docs/incidents/post-mortem-YYYYMMDD.md, condiviso con titolari studio impattati su richiesta.

4. Responsabilità

4.1 Hydradent (processor)

  • Mantenere monitoring + alerts
  • Triage iniziale entro 1h
  • Notifica al titolare entro 24h
  • Supporto investigation
  • Fornire dati per notifica al Garante / interessati
  • Post-mortem entro 30gg

4.2 Studio cliente (titolare)

  • Decidere se notificare al Garante (con supporto Hydradent)
  • Notificare i pazienti se rischio elevato art. 34
  • Aggiornare il proprio registro trattamenti

4.3 Sub-processor

  • Notificare Hydradent immediatamente se rilevano breach
  • Cooperare nell'investigation

5. Template comunicazione

5.1 Email a titolare studio (T+24h)

Oggetto: [URGENTE — DATA BREACH] Notifica violazione di sicurezza Hydradent

Gentile [Nome Titolare],

ai sensi del DPA art. 28 par. 3 lett. f firmato all'attivazione, ti notifichiamo
una violazione di sicurezza che potrebbe coinvolgere i dati del tuo studio.

DETTAGLI:
- Data scoperta: [data ora]
- Natura: [descrizione tecnica sintetica]
- Categorie di dati potenzialmente coinvolti: [es. anagrafica, anamnesi, fatture]
- Numero pazienti potenzialmente coinvolti: [N approssimativo]
- Conseguenze probabili: [es. nessuna se cifrato / esposizione anagrafica / ecc]
- Stato attuale: [contenuto / in corso / risolto]

MISURE ADOTTATE:
- [Rotazione credenziali / blocco IP / patch deploy / ecc]

PROSSIMI PASSI:
- Riceverai update entro 72h con dettagli su notifica al Garante (se applicabile)
- Aggiornamenti in tempo reale: /impostazioni/sicurezza
- Domande: breach@hydradent.com (response < 4h lavorative)

Cordiali saluti,
[Nome] — Privacy Contact Hydradent
breach@hydradent.com · +39 [phone]

5.2 Notifica Garante

Vedi format prescritto dal Garante: https://servizi.gpdp.it/databreach/s/

5.3 Comunicazione paziente (template per studio)

Hydradent fornisce template Word/PDF al titolare che lo personalizza con i propri dati paziente. Template in docs/compliance/breach-notification-patient-template.md (TODO post-primo-incident).

6. Test della procedura

Esercitazione tabletop annuale:

  • Founder simula scenario (es. "Convex breach 10 org")
  • Cronometra response time
  • Documenta gap
  • Aggiorna procedura

Prima esercitazione: pianificata 2026-12.

7. Modifiche

Versione Data Modifiche
1.0 2026-05-19 Prima redazione formale
Questo documento è il source-of-truth canonical in docs/compliance/DATA_BREACH_PROCEDURE.md. Storico modifiche tracciato via commit Git nel repository Hydradent (su richiesta del cliente per audit, supplabile come export PDF firmato).