Il consulente risponde.
Il fattore umano nelle violazioni di dati è difficile da identificare e, soprattutto, da mitigare, in particolare per il fatto che la violazione può essere accidentale o intenzionale.
Data breach: quando notificarlo?
Come nel caso di un attacco informatico, anche nel caso di data breach che si verifica per causa umana scattano degli obblighi in capo al titolare del trattamento (in primis quello di compilazione del registro dei data breach) che comprendono, eventualmente
la notifica al Garante;
la notifica agli interessati.
Questi ultimi due obblighi sono da valutare di volta in volta analizzando a fondo il tipo e i dati oggetto della violazione.
Leggi di più: Privacy: provvedimento in materia di videosorveglianza [Garante Privacy Videosorveglianza]
L’EDPB (Comitato europeo per la protezione dei dati), nelle sue linee guida, offre una serie di casi atti a capire quando sia necessario fare la notifica al garante e quando agli interessati, sottolineando che, in ogni caso, è sempre necessaria la compilazione di un apposito registro delle violazioni.
In particolare, sottolinea quanto sia complicato per i titolari identificare la vulnerabilità (ossia la persona) e adottare le necessarie misure di mitigazione, soprattutto in quanto questo tipo di violazione, oltre che essere molto comune, può essere intenzionale o non intenzionale.
Sicuramente una fonte di mitigazione del rischio è la corretta formazione dei dipendenti con riguardo sia alla normativa privacy sia con riguardo alle possibili conseguenze per gli interessati e per l’azienda stessa. Altra strada per la mitigazione del rischio è la definizione di procedure da seguire nella gestione dei dati, che possono essere informatiche (come i popup che richiedono una seconda conferma prima di continuare la procedura) sia procedurali, come il dover seguire determinati criteri di archiviazione o il fatto di dover consultare il superiore prima di procedere (es.) alla distruzione di alcuni documenti.
Come per i ransomware e per gli attacchi informatici, le linee guida dell’EDPB offrono due esempi.
Furto dei dati da parte di un ex dipendente [DATA BREACH]
Nel primo caso esaminato dall’EDPB si parla di un ex dipendente che, nel periodo di preavviso, ha copiato i dati dei clienti aziendali dal server (al quale aveva accesso a causa della sua mansione). Lo stesso, mesi dopo, avrebbe utilizzato tali dati per contattare i clienti al fine di portarli nella sua nuova azienda.
I dati che sono stati oggetto di violazione sono quelli di contatto dei clienti (persone fisiche o giuridiche) della società.
In tale caso, dato che non vi sono rischi per i diritti e libertà degli interessati (con esclusivo riferimento ai clienti persone fisiche), a parte la scocciatura della telefonata/e-mail, non è necessario notificare la violazione agli interessati, essendo sufficiente la notifica al Garante.
Si tratta di azioni difficilmente prevedibili dal Titolare del trattamento, in quanto nessuno si può aspettare che un dipendente rubi i contatti dei clienti, e difficili da impedire (il dipendente fino all’ultimo giorno deve poter compiere il proprio lavoro). Le azioni che si possono compiere possono essere la registrazione dei log di accesso ai dati e quella di impedire l’utilizzo degli stessi al dipendente licenziato/dimissionario tramite diffida legale.
Trasmissione accidentale dei dati a terzi [DATA BREACH]
Questo è il caso di un agente assicurativo che ha ricevuto da un suo collega una mail che aveva in allegato un foglio Excel contenente dati personali (di contatto e relativi all’assicurazione) di una ventina di clienti. L’agente assicurativo, in quanto professionista e in quanto tenuto al segreto professionale, ha subito avvertito dell’errore il collega, il quale ha chiesto di eliminare l’e-mail e i dati.
I dati oggetto della violazione sono i dati di contatto, dati anagrafici e dati relativi alla polizza assicurativa. In questo caso, visto il basso numero di dati e la quantità minima di soggetti coinvolti e che vi è stata subito comunicazione dell’errore con conseguente cancellazione del file, non vi sono rischi per i diritti e le libertà degli interessati, di conseguenza la notifica al garante e agli interessati non è necessaria.
Con riguardo alle azioni di mitigazione, dato che si tratta di una svista del mittente, si rende necessario, per il futuro, un doppio controllo prima dell’invio di e-mail e di allegati contenenti dati personali. In questo particolare caso, il rischio è stato mitigato dal fatto che il destinatario era tenuto al segreto professionale e che ha provveduto immediatamente ad avvertire il collega dell’errore e ad eliminare il file.
Riccardo Ajassa è Dottore in giurisprudenza. Dal 2018 è Consulente della privacy e studia la normativa in materia di protezione dei dati personali. Dopo aver visto moltissime realtà e aumentato la sua esperienza in campo privacy, da alcuni mesi si sta specializzando anche in tema di cyber security.