Quando si parla di data breach generalmente l’evento che ha inciso negativamente sui dati personali è già accaduto e quindi si è già entrati in quella fase di “emergenza” che deve essere gestita sia dal punto di vista procedurale, sia da quello reputazionale.
All’interno di un’azienda o di un contesto professionale è indispensabile che ciascuno sappia perfettamente cosa fare e quando farlo, per cui è necessario che il data breach sia affrontato anche in una fase preventiva, in modo da poterlo gestire correttamente nel momento della sua verificazione.
Che cos’è un data breach
Partiamo in primo luogo dalla definizione di data breach. Con questo termine, infatti, in molte realtà, erroneamente, si identifica il solo attacco hacker che blocca e impedisce l’utilizzo dei dati personali trattati.
Il data breach, invece, deve essere qualificato come qualsiasi violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Si tratta, quindi, di un evento che incide sulla disponibilità, sull’integrità o sulla riservatezza dei dati.
Partire da questo concetto, delineato nelle sue corrette caratteristiche, significa comprendere la dimensione dell’evento e individuare, di conseguenza, le azioni e le procedure corrette da porre in essere.
La perdita della disponibilità dei dati deriva certamente da un attacco hacker, da un ransomware, ma anche da un furto o dalla perdita di un device o di una chiavetta USB.
Nello stesso modo rappresenta un evento che incide sull’integrità dei dati la manipolazione degli stessi effettuata da un dipendente infedele o l’inserimento di dati che possano in qualche modo “inquinare” quelli presenti in un data base (si pensi, per fare un esempio, ai risultati di esami clinici), così come incide sulla riservatezza degli stessi dati un accesso o una consultazione effettuata dal un soggetto terzo non autorizzato.
In tutti questi casi, quindi, si è in presenza di un data breach e, pertanto, deve essere attivata la procedura corretta sia per quanto riguarda la (eventuale) segnalazione al Garante sia per quanto concerne la (anche in questo caso eventuale) comunicazione agli interessati.
Entrambe queste comunicazioni presuppongono una attenta valutazione e analisi dell’evento che si è verificato e dei possibili effetti che lo stesso può avere, valutazioni che necessitano di una adeguata formazione e la conoscenza di specifiche procedure aziendali.
La prevenzione: formazione e policy
Formazione del personale e policy aziendali sono elementi imprescindibili delle misure di prevenzione di un data breach.
La formazione dei dipendenti rientra a tutti gli effetti in quelle misure tecniche o organizzative da adottare per la compliance aziendale.
È necessario assegnare ruoli e responsabilità in modo che, nel momento di massima criticità, tutti sappiano esattamente cosa fare e come farlo.
La gestione di un data breach, indipendentemente dalla gravità dello stesso, non può essere improvvisata e ogni singola azione deve essere realizzata secondo le procedure preventivamente predisposte, in modo tale da gestire anche l’eventuale aspetto emotivo che potrebbe incidere negativamente sulla corretta gestione dell’evento.
Stabilire preventivamente le procedure significa attuare un vero e proprio piano di emergenza, con ruoli e attività definiti e perimetrati, in modo che non ci siano sovrapposizioni o, al contrario, mancanze che espongono, di conseguenza, a ulteriori effetti negativi.
Data breach: la segnalazione al Garante, quando va effettuata
Il titolare, senza ritardo e entro 72 ore dalla scoperta del data breach deve notificare all’Autorità di controllo la violazione “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo” (così testualmente l’art. 33 del Regolamento europeo)
La notifica al Garante rappresenta senza ombra di dubbio uno dei nodi cruciali del data breach che passa, necessariamente, dalla corretta qualificazione e comprensione delle caratteristiche specifiche dell’evento.
Ogni data breach deve essere notificato? Deve essere in qualche modo annotato? Come? Dove?
Non tutti i data breach devono necessariamente essere oggetto di notifica al Garante, almeno nelle 72 ore successive alla scoperta dell’evento.
La notifica, infatti, potrebbe rendersi necessaria dopo un certo lasso temporale dall’evento. Si pensi, per esempio, allo smarrimento di una chiavetta USB crittografata.
In questo caso la crittografia potrebbe portare a pensare che la notifica non sia necessaria perché questa misura di sicurezza renderebbe molto basso il rischio per i diritti e le libertà degli interessati. È tuttavia necessario considerare due diversi aspetti. Il primo riguarda l’efficacia della chiave crittografica impiegata, l’altro la sua validità nel tempo.
In sostanza la chiave crittografica che oggi garantisce un alto livello di protezione (dal quale deriva, quindi, la valutazione in merito alla necessità di effettuare la notifica) potrebbe fra qualche mese avere un’efficacia ridotta in seguito ai progressi tecnologici e alla possibilità, nello specifico, di essere facilmente decrittata.
In questo caso, quindi, la notifica andrebbe fatta in un momento successivo, anche a seguito di una valutazione differente rispetto a quella effettuata nell’immediatezza dell’evento.
Ecco, quindi, che i singoli data breach, anche se non notificati, devono in ogni caso essere monitorati nel tempo poiché, come detto, l’evoluzione tecnologica può modificare le caratteristiche di un incidente e rendere, pertanto, necessarie attività diverse e ulteriori nel corso del tempo.
Ne deriva, in questa ottica, l’importanza del registro delle violazioni, registro nel quale devono essere annotati tutti gli incidenti, indipendentemente dalla notifica al Garante, il suo costante aggiornamento e il monitoraggio dei singoli breach.
Data breach: la comunicazione agli interessati
Ultima, ma non meno importante, aspetto da considerare è la comunicazione agli interessati.
A norma dell’art.34 del Regolamento “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.
In questo contesto si inserisce la necessità di un’attenta valutazione delle caratteristiche dell’incidente, poiché da queste, deriva direttamente l’obbligo di comunicazione agli interessati.
Non si tratta, in ogni caso, di un problema di poco conto posto che l’analisi non deve riguardare solamente la necessità di effettuare la comunicazione, ma addirittura le modalità concrete con le quali effettuarla, anche a tutela della propria reputazione.
Cosa fare in caso di violazione
Poche regole, per certi versi basilari e dettate anche dal buon senso possono aiutare a gestire e a proteggere la propria web reputation.
- Mai negare l’accaduto: la verità si può scoprire facilmente. Negare un incidente a fronte di una reale violazione non è una strategia corretta in quanto chi ha generato l’attacco potrebbe smentire fornendo le prove dell’incidente e della violazione dei dati.
- Mai dare informazioni se non si è sicuri di quello che si sta comunicando: nel caso in cui non si abbia la certezza delle informazioni che si diffondono è opportuno evitare di fornire dettagli, ma, al contrario, è consigliabile dare informazioni generiche e rimandare i dettagli ad un momento successivo, indicando che saranno dati aggiornamenti periodici.
- Ammettere il problema e dare rassicurazioni sulle attività che si stanno effettuando per risolvere la criticità e impedire che si verifichi nuovamente in futuro.
- Mai scaricare la colpa su terzi puntando il dito su soggetti determinati: dare la colpa a un hacker quando si tratta di un problema diverso è una mossa completamente sbagliata che può essere facilmente smentita ed esporre, di conseguenza, l’azienda a ulteriori problemi reputazionali.
- Rispondere alle richieste di informazioni degli interessati: le richieste devono essere riscontrate con un tono e un contenuto appropriato, dando informazioni precise in relazione alle singole richieste. Laddove non si sia in grado di dare le informazioni richieste si dovrà spiegare il motivo e rinviare l’interessato ad aggiornamenti ulteriori (che ovviamente dovranno essere dati non appena disponibili).
