Il consulente risponde.
Cos'è il data breach
Secondo la definizione fornita dall’art. 4 del Regolamento EU 679/2016 (da ora in poi GDPR)
il data breach (o violazione dei dati personali) consiste in una violazione della sicurezza che, accidentalmente o illecitamente, comporta “la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.
Come affermato dallo stesso articolo, il data breach consiste in una violazione di sicurezza con riferimento esclusivo ai dati personali in conseguenza della quale il titolare non potrebbe più garantire il rispetto delle prescrizioni previste dal GDPR. Quest’affermazione, come affermato dal WP29 nelle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679”, pone una chiara distinzione tra incidente di sicurezza e violazione dei dati personali. Mentre ogni violazione di dati personali, infatti, è un incidente di sicurezza, non ogni incidente di sicurezza configura una violazione di dati personali.
Linee guida EDPB sul data breach
Le violazioni dei dati non sono solo problemi in sé e per sé, ma sono anche sintomo di un sistema vulnerabile e probabilmente obsoleto.
Generalmente è sempre meglio prevenire piuttosto che curare, poiché alcune conseguenze di un data breach sono irreversibili per loro stessa natura. Il titolare del trattamento, prima di valutare il rischio derivante da una violazione di dati personali, dovrebbe individuare la causa principale della violazione, così da capire se tale vulnerabilità sia ancora presente e, in tal caso, provvedere a eliminarla.
L’EDPB (Comitato europeo per la protezione dei dati), nelle sue linee guida, offre una serie di casi atti a capire quando sia necessario fare la notifica al garante e quando agli interessati, sottolineando che, in ogni caso, è sempre necessaria la compilazione di un apposito registro delle violazioni.
Un esempio di data breach: il ransomware
I ransomware sono dei malware con la funzione di criptare i dati presenti negli spazi di archiviazione o i sistemi operativi con il fine di chiedere un riscatto.
II fine ultimo dell’attaccante sono i soldi (solitamente richiedono pagamenti in criptovalute, in quanto non tracciabili) e per ottenerli pone in essere una doppia minaccia:
I dati restano criptati: questo non significa che non potranno essere ripristinati con il backup, ma che ci vorrà del tempo e, soprattutto, difficilmente verranno ripristinati nella loro interessa;
i dati verranno diffusi sul web: questo può essere problematico soprattutto per le aziende che hanno dati aziendali riservati, anche se in generale, a livello privacy, è un problema per chiunque.
Questa tipologia di attacco solitamente viene classificata come “violazione della disponibilità”, ma potrebbe benissimo rientrare anche nella categoria delle “violazioni della riservatezza” (vedi il punto 2).
I casi portati d’esempio nelle linee guida riguardano situazioni di criptazione dei dati:
Con un backup dei dati adeguato;
Senza un backup dei dati adeguato;
Con diffusione dei dati.
Ransomware: qualche esempio [Data breach]
1. Il primo caso riguarda un ospedale il cui sistema informatico è stato criptato. La prima conseguenza riguarda, oltre la indisponibilità di tutti i dati dei pazienti sottoposti a trattamenti e cure, il blocco del sistema e quindi l’impossibilità di offrire il servizio. L’infrastruttura IT dell’ospedale è buona, in particolare hanno accesso al registro dei log, tramite il quale viene subito evidenziato che non vi è stata trasmissione di dati. Inoltre, era presente un buon sistema di backup, grazie al quale, con 2 giorni di lavoro, è stato possibile il recupero dei dati criptati.
Si capisce che un ospedale che non ha disponibilità dei dati sui pazienti per due giorni provoca un disagio nei soggetti interessati di non poco conto (infatti sono state rimandate anche delle operazioni chirurgiche).
La presenza di un buon backup ha ridotto un poco i danni provocati dal ransomware, ma in ogni caso i danni ricevuti dai pazienti sono stati di notevole impatto.
2. Un caso analogo riguarda un’azienda manifatturiera, la quale si è ritrovata con il sistema IT criptato. I dati coinvolti riguardavano i dipendenti e i clienti. A differenza dell’ospedale non era presente un backup elettronico (ma solo documenti cartacei) e ciò ha portato i tempi di ripristino a 5 giorni lavorativi.
Per un’azienda rimanere fermi per una settimana può avere conseguenze economiche di non poco conto, ma dal punto di vista della privacy i dati criptati erano dati personali (e non particolari).
La differenza tra i due casi riguarda, in primis, la tipologia di dati coinvolti; nel caso dell’ospedale si trattava praticamente solo di dati particolari, la cui violazione genera un fortissimo pericolo per i diritti e le libertà degli interessati, mentre nel secondo caso si trattava di dati personali, la cui violazione ha portato a ritardi nelle comunicazioni e nelle consegne, ma non una lesione dei diritti e delle libertà.
Come comportarsi? Viste le premesse, nel caso dell’ospedale, la notifica al garante è obbligatoria, come anche quella agli interessati, che tra l’altro dovrà essere fatta di persona. Invece, nel secondo caso, la notifica al garante rimane obbligatoria, visti i tempi di ripristino e dato che molto probabilmente non verranno recuperati tutti i dati, mentre la notifica agli interessati non è necessaria, salvo si debba richiedere a loro dei dati che non sono stati recuperati.
3. L’ultimo caso riguarda un’azienda di trasporti pubblici alla quale non solo sono stati criptati i server, ma sono anche stati rubati i dati (riguardanti i dati personali dei dipendenti e delle migliaia di clienti) in particolare quelli riguardanti le carte di identità, i dettagli delle carte di credito, etc. Oltre ciò, l’attaccante ha crittografato anche il backup.
Vista la situazione e la grande quantità di dati sottratta e criptata la notifica al Garante è sempre obbligatoria, stessa cosa per la notifica agli interessati, in quanto per questi il rischio di violazione dei diritti e delle libertà è altissimo e in quanto devono potersi tutelare (es. bloccando la carta di credito). Anche se il numero di soggetti interessati è altissimo bisognerebbe procedere ad una comunicazione personale unita a una pubblica per quelli di cui non si conoscono i recapiti, la quale potrebbe essere fatta tramite il sito web dell’azienda o tramite un comunicato stampa.