Uno dei temi più critici finito sotto i riflettori a seguito dell’introduzione del GDPR è sicuramente quello del c.d. data breach, ovvero la violazione di dati. Il Regolamento europeo del 2018, infatti, ha imposto un obbligo a carico di tutte le imprese di notificare all’autorità competente i casi in cui avviene una violazione dei dati personali, imponendo anche di applicarsi con azioni di rimedio volte a mitigare i rischi per gli interessati.
L’European Data Protection Board (EDPB) è tornato sul punto lo scorso gennaio con una proposta di linee guida molto concrete, costituite per lo più da esempi pratici, tese a dare ai titolari del trattamento un punto di vista operativo per la gestione delle delicate casistiche di violazione di dati.
Definizione di data breach e azioni richieste ai titolari
All’art. 4 n. 12, il GDPR definisce il data breach come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Tali violazioni possono essere classificate in tre macro categorie:
- violazione della riservatezza: in caso di divulgazione non autorizzata o accidentale di dati personali, o accesso agli stessi;
- violazione dell’integrità: in caso di modifica non autorizzata o accidentale dei dati personali; e
- violazione della disponibilità: in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.
Gli effetti negativi che conseguono a ciascuna di queste violazioni possono essere estremamente significativi per gli individui coinvolti. Solo per citarne alcuni: perdita di controllo sui dati personali, limitazione dei diritti degli interessati, discriminazione, furto di identità o frode, perdite finanziarie, danno a reputazione e riservatezza, senza contare i significativi danni a livello sociale ed economico che possono esservi correlati. Il compito del titolare del trattamento, quindi, è quello di valutare attentamente ciascuno di questi rischi e di individuare le misure tecniche ed organizzative più idonee per affrontarli.
Il GDPR, pertanto, chiede al titolare in primis di documentare scrupolosamente eventuali violazioni di dati che si verifichino, descrivendone i fatti, gli effetti e le azioni correttive intraprese. In un secondo momento, il titolare è tenuto a notificare la violazione avvenuta alla competente autorità di controllo (salvo i casi in cui risultino improbabili conseguenti rischi per i diritti e le libertà delle persone fisiche). Infine, il titolare è tenuto a procedere con la comunicazione anche all’interessato laddove la violazione comporti un rischio elevato per i suoi diritti e libertà.
Assume, pertanto, un’importanza fondamentale che i titolari del trattamento si attrezzino a livello tecnico così da individuare in maniera tempestiva la violazione e che si dotino di procedure interne precise ed efficaci, che permettano di reagire prontamente e minimizzare i rischi per gli interessati. Tutto ciò, indubbiamente, è possibile soltanto se il titolare si circonda di soggetti addestrati e di figure di coordinamento per la privacy, investendo sulla formazione e la sensibilizzazione sui temi della protezione dei dati personali. Allo stesso modo, il titolare deve avere un controllo molto stretto sui fornitori di servizi cui può aver affidato i dati (si pensi ad un fornitore di servizi cloud). In tal caso, il titolare e il responsabile dovranno collaborare a stretto contatto per individuare la violazione e porre i rimedi necessari.
Esemplificando, una procedura per la gestione del data breach dovrebbe regolare almeno: (i) una fase di segnalazione che dovrebbe essere recapitata tempestivamente (poche ore dalla scoperta) alla funzione privacy o legale dell’azienda, mediante la compilazione di un modulo preimpostato con le informazioni a disposizione e tramite un canale di raccolta univoco (es. l’email privacy@azienda.com) (ii) una fase di valutazione della violazione e dei rischi derivanti, da parte delle funzioni privacy o legale competenti, insieme al DPO se presente e alle funzioni operative ritenute necessarie ai fini della raccolta di informazioni (es. la funzione HR se la violazione ha riguardato i dati dei dipendenti); detta fase dovrebbe esaurirsi nell’arco di 24/48 ore salvo eccezioni (iii) una fase di decisione delle misure da intraprendere, inclusa la necessità di procedere alla notifica all’autorità e, se del caso, anche agli interessati entro i termini di legge (iv) una fase di implementazione e costante monitoraggio delle azioni intraprese.
I casi di data breach evidenziati dall’EDPB e le loro peculiarità
Ransomware
Tra le cause principali che provocano una violazione di dati, l’EDPB si sofferma in particolare sull’attacco ransomware. Si tratta di situazioni in cui, attraverso un malware, chi compie l’attacco provoca la cifratura dei dati personali al solo scopo di ricattare il titolare chiedendo un riscatto in cambio delle chiavi di decriptazione. Generalmente questa tipologia di attacco costituisce una violazione della disponibilità, ma in certi casi potrebbe comportare anche una violazione della riservatezza.
Infatti, la riservatezza dei dati potrebbe essere minacciata in caso di esfiltrazione, cioè sottrazione degli stessi. Un primo step è sicuramente l’identificazione della tipologia di malware, per comprendere quali siano le possibili conseguenze dell’attacco e a tal riguardo è fondamentale la presenza di log che tracciano tutti i flussi di dati in uscita dalla struttura del titolare. Infatti, i malware più sofisticati potrebbero avere la capacità di modificare i file di log e rimuovere così traccia dell’esfiltrazione. Perciò sarebbe utile inoltrare o replicare tutti i log ad un server centrale di log. Inoltre, il titolare dovrebbe dotarsi di software anti-malware e di sistemi di rilevamento e prevenzione delle intrusioni, nonché di connessioni VPN per l’accesso a Internet.
Un passo avanti rilevante potrebbe essere, poi, l’applicazione di sistemi di crittografia, che rendono i dati illeggibili e inutilizzabili dall’attaccante. Più la tecnica di cifratura è all’avanguardia, meno possibilità ci saranno che l’attaccante riesca a compromettere la chiave di decrittazione.
Lo scenario cambia, poi, radicalmente, in base alla presenza o meno di un backup. Infatti, in sua assenza sono ben poche le misure che possono essere messe in atto dal titolare per rimediare alla perdita di dati personali. È preferibile una procedura di backup elettronica, mantenuta aggiornata, sicura e testata. Inoltre, i supporti per il backup a medio e lungo termine dovrebbero essere tenuti separati dall’archiviazione dei dati operativi e fuori dalla portata di terzi anche in caso di attacco portato a segno. Avere un sistema di backup corretto rende gli effetti della violazione meno gravi e permette di ripristinare i dati in maniera quasi immediata, senza ripercussioni sugli interessati. La presenza di documentazione cartacea cui ricorrere in caso di assenza di backup elettronico è certamente un aiuto, ma non una buona soluzione, se si considera che i tempi di ripristino soffrono di lungaggini non facilmente determinabili e che una notevole quantità di metadati potrebbe non essere recuperabile.
Per valutare la necessità o meno di comunicazione del data breach agli interessati, infatti, non si può considerare solo la quantità e la tipologia dei dati o il numero di interessati coinvolti, ma si deve tener conto anche del tempo impiegato per il ripristino dei dati, in quanto eventuali ritardi potrebbero comportare danni sia materiali che immateriali agli interessati.
Dispositivi smarriti o rubati
Una tipologia ricorrente di data breach è, poi, quella che avviene a causa dello smarrimento o furto di dispositivi portatili. In questi casi, il titolare deve prendere in considerazione alcune circostanze rilevanti, come il tipo di dati memorizzati sul dispositivo, nonché le risorse di supporto e le misure adottate prima della violazione per garantire un livello di sicurezza adeguato. Questi tipi di violazioni possono sempre essere classificate come violazioni della riservatezza. Tuttavia, se non c’è backup per il database rubato, può trattarsi anche di una violazione della disponibilità o violazione di integrità.
Tra le misure da adottare per prevenire questo tipo di situazioni vi è sicuramente la crittografia del dispositivo, per esempio attraverso Bitlocker, e l’utilizzo obbligatorio di password, richiedendo che le stesse siano quanto più complesse e difficilmente individuabili. La soluzione migliore, tuttavia, è quella di sensibilizzare gli utilizzatori dei dispositivi al salvataggio dei dati su un server centrale back-end e l’utilizzo di una VPN sicura (che richieda, ad esempio, una chiave di autenticazione del secondo fattore separata per la creazione di una connessione sicura) per connettere i dispositivi mobili ai server back-end. Se si seguono queste indicazioni, i rischi potrebbero essere limitati e la notifica della violazione evitata.
Errore umano nell’invio delle e-mail
Tra i casi concreti elencati nelle linee guida dell’EDPB, una situazione purtroppo ricorrente nella realtà è l’invio di una mail ad un destinatario errato, con la conseguente diffusione impropria di dati personali. Purtroppo in questo caso non sono molte le misure che il titolare del trattamento può adottare in via preventiva, ma è fondamentale investire tempo e denaro nel training dei propri dipendenti. Sessioni formative di sensibilizzazione sugli errori più comuni che portano ad una violazione di dati personali potrebbero essere un ottimo punto di partenza. Ad affiancare la formazione, tuttavia, vi possono essere dei piccoli accorgimenti come l’inserimento della possibilità di cancellare una mail entro un determinato periodo di tempo dall’invio, la rimozione della modalità di completamento automatico al momento dell’inserimento del destinatario della mail o, ancora, la richiesta di una doppia conferma prima dell’invio.
Le posizioni delle autorità garanti
Non è un caso, quindi, che il nostro Garante abbia recentemente lanciato un nuovo servizio online per supportare i titolari del trattamento negli adempimenti previsti in caso di data breach. Tramite questo servizio, gli utenti potranno accedere agevolmente al modello di notifica al Garante e alla procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di notifica all’autorità e di comunicazione all’interessato.
L’autorità italiana non è, però, l’unica a voler fare chiarezza su questa materia. L’autorità danese per la protezione dei dati, infatti, ha annunciato di essersi unita alla polizia nazionale danese e all’ufficio del procuratore generale nella stesura di una guida esplicativa per le multe relative alle violazioni dei dati. Vengono delineate sei categorie di violazioni e le relative sanzioni pecuniarie, che possono essere modificate in base alle circostanze della violazione. Le autorità sperano che tale guida aiuti a fornire una maggiore trasparenza sulla determinazione dell’entità della multa.
Si tratta, in conclusione, di una materia estremamente delicata, se si considerano le quantità di dati che vengono quotidianamente violati e i numeri sempre crescenti di interessati coinvolti. È chiaro che tutti gli operatori del settore, dall’EDPB in ambito europeo alle singole autorità nazionali, stanno facendo del loro meglio per implementare linee guida e procedure, al fine di limitare i casi di data breach e sensibilizzare i titolari ad assumere misure preventive maggiormente idonee ed efficaci.