Gli attacchi informatici sono in costante aumento, al fine di meglio tutelare il proprio patrimonio ed evitare di incorrere in sanzioni è fondamentale che le aziende ed i professionisti informatici siano preparati su come agire nell’eventualità di un Data Breach.
Col nuovo regolamento europeo difatti è diventato obbligatorio per tutti i Titolari del Trattamento, di notificare all'autorità garante di Roma le perdite di dati.
Occorre in prima luogo comprendere cosa si intenda per Data Breach, sul punto è di aiuto la definizione fornita dall’autorità Garante italiana, che lo ha definito come “Una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati" compromettendone la riservatezza, l’integrità o la disponibilità. Questo dunque ricomprende non solo perdite derivanti da attacchi cyber, ma anche derivanti da errori umani, o disastri ambientali.
Primo importante elemento da porre in rilievo è che possono essere considerati Data Breach, ai sensi della normativa europea ,solamente le violazioni avente ad oggetto dati personali e non qualsiasi violazione della sicurezza. Pertanto nei casi in cui la violazione riguardi dati non personali, la stessa potrà essere analizzata e valutata al fine di implementazione di procedure e misure difensive ma non dovrà essere oggetto di segnalazione.
A fornire degli esempi su cosa possa essere un data breach sono intervenute le linee guida del WP 29:
| Esempio di data breach |
Notifica all'Autorità di Controllo? |
Notifica agli interessati? |
Note |
| Un Titolare conserva un back up di dati personali su una chiavetta USB criptata. Tale chiavetta viene rubata |
no |
no |
Fin quando i dati sono criptati tramite algoritmi, esiste un backup dei dati e i dati possono essere ripristinati in poco tempo non vi è obbligo di notifica. Qualora dovesse intervenire qualunque minaccia successiva, la notifica è richiesta. |
| Un Titolare gestisce dei servizi on line. A seguito di un attacco informatico, i dati personali degli interessati sono trasferiti illecitamente (data extrusion). I clienti del Titolare che usano i servizi online si trovano negli Stati Membri |
Si, la notifica è necessaria se possono esserci conseguenze per gli interessati |
Si, la notifica agli interessati dipenderà dalla natura dei dati personali coinvolti nella violazione e se i rischi per i diritti e le libertà degli interessati siano alti. |
|
| In un call center di un Titolare si verifica un black-out temporaneo, i clienti pertanto non possono chiamare o accedere alle proprie registrazioni |
No |
No |
Non è una violazione da notificare ma in ogni caso un incidente da documentare nel relativo registro dei data breach. |
| Un provider di piattaforme e-commerce (marketplace) ha clienti e utenti in diversi Stati Membri. Il suo sito web subisce un attacco informatico, sono pertanto pubblicate online tutte le utenze, le password e gli acquisti dei clienti. |
Si, notificare all'Autorità capofila (trattamento transfrontaliero di dati) |
Si, in quanto potrebbero esserci rischi elevati per gli interessati |
Il Titolare deve mitigare i rischi, ad esempio potrà forzare l'impostazione di nuove password (reset password). Il Titolare che è un fornitore di servizi digitali deve procedere anche con altre notifiche, ad esempio quelle richieste in base alla direttiva NIS. |
| Un fornitore di servizi di web hosting, Responsabile del trattamento, trova un errore nel codice che gestisce le autorizzazioni degli utenti. In sostanza ogni utente può accedere ai dettagli dell'account di altri utenti. |
Dato il suo ruolo di Responsabile del trattamento, dovrà comunicare senza ritardo al Titolare (suo cliente) quanto scoperto. Se il fornitore di servizi di web hosting ha condotto delle proprie indagini in merito alla potenziale violazione di dati, il Titolare potrà affermare di aver subito una violazione di dati e le 72 ore decorreranno dal momento in cui il Responsabile gli ha comunicato quanto accaduto. Il Titolare notificherà la violazione all'Autorità di controllo |
Se non sussiste un rischio elevato per i diritti e le libertà degli interessati non si deve notificare. |
Il Responsabile dovrà notificare ogni altra eventuale notifica dato il suo ruolo come fornitore di servizi digitali (ad esempio in base alla direttiva NIS). Se il Responsabile ha valutato che non vi siano rischi o conseguenze per i propri clienti, la notifica non è prevista. In ogni caso dovrà registrare e documentare l'evento. |
| Una e-mail promozionale/commerciale è inviata a tutta la mailing list, senza utilizzare la copia nascosta, pertanto ogni destinatario conoscerà gli indirizzi degli altri destinatari. |
Si, se è coinvolto un numero elevato di destinatari. Inoltre sarà opportuno valutare se siano stati divulgati dati sensibili (ad esempio nel caso fosse una mailing list di uno psicoterapeuta o le e-mail contengono iniziali di password). |
Si, la notifica per gli interessati è richiesta e dipenderà dai dati coinvolti. |
La notifica potrebbe non essere richiesta se non sono coinvolti dati sensibili e se solo un numero esiguo di indirizzi e- mail è stato divulgato. |
La celerità nella risposta a tali situazioni è fondamentale, difatti, il GDPR prevede un periodo massimo di 72 ore per effettuare la notifica. Tali ore decorrono da quando il Titolare "scopre" concretamente la violazione dei dati. In alcuni casi, potrebbe essere difficile riscontrare subito una violazione dei dati, per tale motivo il Gruppo Art. 29 suggerisce al Titolare di intraprendere quanto prima tutte le verifiche in tema di violazione e fornisce alcuni utili esempi, che si riportano nel seguito a titolo esemplificativo:
- in caso di perdita di una chiavetta USB, il Titolare deve iniziare a calcolare le 72 ore non appena realizza che tale device sia stato perso. Il Titolare potrebbe non essere in grado di stabilire se sia intervenuta o meno una violazione della riservatezza ma ciò non è rilevante ai fini della notifica. La notifica è necessaria in quanto il Titolare può ragionevolmente asserire che i dati non sono più nella sua disponibilità;
- una terza parte informa il Titolare di aver ricevuto per errore dati personali, il Titolare è immediatamente a conoscenza dell'evento dannoso e le 72 ore decorrono da subito;
- Il Titolare rileva possibili intrusioni nella rete aziendale e dovrebbe valutare se i dati presenti sul sistema siano stati compromessi. Le 72 ore decorrono, quindi, dal momento in cui il Titolare riscontra una compromissione di dati nel sistema.
Compresi in quali casi è opportuno procedere ad una notifica di Data Breach all'Autorità Garante competente, il regolamento fornisce anche le indicazioni dei contenuti minimi di tale comunicazione.
La notifica deve contenere almeno le informazioni sinteticamente riportate di seguito (art. 33, par. 3 del Regolamento (UE) 2016/679):
- una descrizione della natura della violazione dei dati personali, che comprenda, se possibile:
- le categorie e il numero approssimativo di persone interessate;
- le categorie e il volume approssimativo di dati personali interessati;
- il nome e i riferimenti di contatto del responsabile della protezione dei dati (se designato dal titolare) o comunque di un referente competente a fornire informazioni;
- una descrizione delle possibili conseguenze della violazione dei dati personali;
- una descrizione delle misure adottate o di cui si propone l'adozione per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure adottate per mitigare eventuali effetti negativi;
- Solo in caso di notifica effettuata oltre il termine prescritto di 72 ore, una descrizione dei motivi del ritardo.
Tale comunicazione, per l'Autorità italiana dovrà avvenire tramite compilazione di un form pdf scaricabile dal sito del Garante, per poi procedere all'invio all'indirizzo: protocollo@pec.gpdp.it.
Indipendentemente dalla notifica all'Autorità di controllo, il GDPR richiede, inoltre, ai Titolari di registrare e documentare qualunque violazione di dati personali. I dettagli relativi alla violazione dovranno essere riportati in un apposito registro, a disposizione dell'Autorità di controllo, e da fornire all'occorrenza in caso di accertamenti da parte dell'Autorità.
Nel registro dovranno essere inclusi oltre i dettagli, le cause e i potenziali effetti della violazione, la tipologia di dati violati, le azioni correttive poste in essere dal Titolare per contenere il danno, le tempistiche di intervento e le modalità con cui è stata comunicata agli Interessati la violazione.
In più, i principi di privacy by design e privacy by default impongono al titolare non solo di affrontare le violazioni di dati e a gestirle, implementando misure di sicurezza che possano rilevare eventuali minacce e violazioni di dati al fine di rispondere prontamente alla violazione stessa. Si pensi a misure come audit logs, tool automatici che rilevano eventuali irregolarità di accesso ai sistemi informatici, piani di riposta agli incidenti di sicurezza, inclusa la comunicazione di tutte le violazioni a un unico soggetto all'interno dell'organizzazione che sia responsabile di aggiornare di volta in volta il registro. Ma anche a prevenirle ponendo in essere procedure volte ad informare e formare il personale per ridurre al minimo il rischio umano.
Qualora si omettano gli adempimenti necessari, Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.