Estratto da La privacy al centro: come costruire un percorso efficace con il cliente, di AMEDEO LEONE (Themis Edizioni, 2024)
Un evento particolarmente gravoso per le organizzazioni è la violazione dei dati (data breach), che richiede un’adeguata preparazione per la sua gestione e l’adozione di misure di mitigazione del rischio derivato da questo particolare incidente. Va chiarito che seppur il data breach venga spesso associato ad un problema informatico, c’è anche la possibilità che l’incidente sia, per così dire, analogico, come nel caso della perdita fisica di un supporto di archiviazione e memorizzazione (la classica chiavetta USB).
Ma, in buona sostanza, cos’è un data breach? L’articolo 4 (12) il GDPR definisce la violazione dei dati personali come «una violazione della sicurezza che porta alla distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata o accesso ai dati personali trasmessi, archiviati o altrimenti elaborati».
Dal momento che una violazione può compromettere la riservatezza, l’integrità o la disponibilità di dati personali (parametri indicati con l’acronimo RID), la sicurezza delle informazioni (information security) rappresenta un tema cruciale per tutte le organizzazioni e strettamente legata al trattamento sicuro dei dati (in proposito si veda la ISO/IEC 27000 per la sicurezza delle informazioni).
Già nel 2017 il WP29 [Gruppo di lavoro articolo 29] aveva prodotto delle linee guida per questo specifico accadimento che sintetizzavano le macro-categorie degli eventuali breaches come perdita della riservatezza, dell’integrità e della disponibilità del dato in questione. Queste linee guida sono state emendate e migliorate dall’intervento dell’European Data Protection Board (EDPB), che nel gennaio 2021 ha emesso delle linee guida su esempi riguardanti la notifica di una violazione dei dati personali, con l’obiettivo di mettere insieme le esperienze a livello di Spazio Economico Europeo anche delle diverse pubbliche autorità, in seguito all’entrata in vigore del Regolamento Europeo sulla protezione dei dati.
È anche importante considerare la varietà di cause delle violazioni, potendo esse scaturire da una molteplicità di situazioni, che vanno dal furto di dispositivi digitali che contengono ormai tanti dati personali, all’impossibilità di accedere ai dati come conseguenza, ad esempio di un malware. Senza contare che spesso le violazioni sono causate da configurazioni errate, errori di autenticazione e carenze nella gestione degli accessi. Non è quindi un caso che le l’EDBP abbia previsto una serie di casistiche esplicative di data breach e di misure per mitigare i danni: ad esempio, in caso di attacco ransomware, vale a dire il criptaggio dei dati dell’utente che per riaverne l’accesso deve pagare un riscatto (ransom), le casistiche si distinguono a seconda che il titolare disponga o meno di un backup dei dati (Fonsi, 2022). Così, in questo caso, se da un punto di vista tecnico vanno previsti una serie di aggiornamenti (es. del sistema operativo), sotto il profilo organizzativo la formazione dei dipendenti è essenziale.
Un obbligo oneroso ma fondamentale riguarda la segnalazione della violazione, la quale secondo il GDPR dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro le 72 ore dal momento in cui si è venuti a conoscenza della violazione, a meno che non ci siano rischi per i diritti e le libertà delle persone fisiche. In ogni caso, il ritardo dovrà essere motivato. Se ne deduce che la questione tempo sia piuttosto rilevante, e le perplessità sorgono nel determinare quando inizi il decorso delle 72 ore concesse per effettuare la notifica. Da questo punto di vista, le nuove linee guida EDPB 9/2022 sulla notifica del data breach, adottate nel marzo 2023, forniscono una serie di indicazioni al riguardo, elencando delle situazioni tipo, e chiariscono il ruolo del DPO, il quale in caso di violazione dei dati deve fornire consulenza al titolare, monitorando il rispetto del GDPR e dare pareri sulle valutazioni di impatto (Sciacca, 2023).
In alcuni casi la notifica può coinvolgere anche gli interessati coinvolti nella fuga dei dati, qualora si ledano particolarmente e in modo invasivo i loro diritti. Particolare attenzione va quindi prestata alle conseguenze che le violazioni possono avere sulle persone: secondo il GDPR, esse includono, tra le altre, la perdita di controllo sui propri dati personali, la limitazione dei propri diritti, perdite o svantaggi economici, nonché danni alla reputazione (brand reputation).
La notifica della violazione va indirizzata alla pubblica autorità nazionale di competenza che, nel caso specifico dell’Italia, è costituito dal Garante per la protezione dei dati personali.
Ma come deve avvenire la notifica alla pubblica autorità?
In base all’articolo 33, di cui al paragrafo 1, la notifica deve:
descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
descrivere le probabili conseguenze della violazione dei dati personali;
descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Nel caso in cui la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo (art. 34 del GDPR), utilizzando il più possibile un linguaggio semplice e chiaro per descrivere la natura della violazione.
Tale comunicazione non è richiesta all’interessato se (art. 34 del GDPR, paragrafo 1):
il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Nell’ambito della mia attività di consulente, ho sintetizzato e redatto una procedura che consegno al cliente e personalizzo a seconda delle sue esigenze particolari; si tratta di una procedura realizzata insieme a un collega esperto di sicurezza informatica – figura fondamentale per gestire in modo efficace la violazione – che a me risulta molto utile e che va di pari passo con l’attività formativa che un buon consulente, ma anche un buon Data Protection Officer, dovrebbe porre in essere.
Per favorire una maggiore comprensione da parte del cliente, ho riassunto nel linguaggio più chiaro possibile quanto espresso dagli articoli 33 e 34 del Regolamento nonché indicato le misure da implementare ex ante ed ex post. Una procedura di cui sono molto soddisfatto e che nel corso degli anni ha portato ad una gestione positiva di questi accadimenti, che sono particolarmente fastidiosi per le aziende, oltre che onerosi.
Considerati gli adempimenti e tutto quello che comporta un data breach, va da sé che la prevenzione resta la strategia migliore nella quale investire. Allo scopo possono essere adottate una serie di contromisure, come il crittografare i dati sensibili, così come specifiche misure organizzative. Di fondamentale importanza è comunque sviluppare percorsi di sensibilizzazione e di formazione verso il personale aziendale che svolge le attività di trattamento: se infatti il fattore umano costituisce la principale problematica per la sicurezza dei dati (Corradini, 2021), è necessario adoperarsi per preparare il personale in modo adeguato.
Estratto da La privacy al centro: come costruire un percorso efficace con il cliente, di AMEDEO LEONE (Themis Edizioni, 2024).
Ordina a questo link: https://tabook.it/prodotto/privacy-al-centro-la/
Disponibile nei maggiori store online.
