Le violazioni della privacy dopo il GDPR: come gestire un data breach
Dal 25 Maggio 2018, il nuovo regolamento europeo in materia di trattamento di dati personali n. 2016/679 (GDPR) obbliga tutte le imprese a gestire le violazioni della privacy.
Il Considerando n. 85 del GDPR ci ricorda che una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone. Le violazioni della privacy possono tradursi in discriminazioni, furti di identità, perdite economiche, pregiudizi alla reputazione etc. Pertanto, il legislatore europeo ha voluto obbligare tutte le imprese che trattano dati personali a dotarsi di particolari procedure in caso di data breach.
Cos’è un data breach
Un data breach è una violazione dei dati personali trattati da un’impresa. Può definirsi come una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali.
La distruzione del dato si ha quando questo viene cancellato in modo irreversibile. Si parla invece di perdita quando il dato fuoriesce dalla sfera di controllo del suo legittimo detentore. L’accesso non autorizzato può riguardare un sistema informatico (hackeraggio) o un database fisico (sottrazione di fascicoli personali). La rivelazione non autorizzata si verifica quando un soggetto avente un obbligo di riservatezza, ad esempio un dipendente, trasmette l’informazione a terzi non autorizzati. Infine, rappresenta un data breach anche la modifica non autorizzata di un dato. Per comprenderne la pericolosità, si pensi alle conseguenze che può portare sulle cure di un paziente la modifica di un referto medico.
Le violazioni della privacy più comuni
Un data breach può manifestarsi in diverse forme, di cui la più comune è probabilmente quella dell’attacco hacker. Ogni volta in cui il nostro sistema informatico viene colpito da un virus o semplicemente subisce un accesso non autorizzato siamo in presenza di un data breach. In questi casi, a meno che non siano state adottate misure preventive idonee, non sempre siamo in grado di stabilire se i dati siano stati sottratti o compromessi. Lo stesso ragionamento vale anche in caso di accesso non autorizzato ad un database fisico. Si pensi ad un furto in azienda in cui venga compromesso l’archivio.
Un data breach può derivare anche dallo smarrimento o dal furto di un dispositivo in cui sono contenuti dati personali, come ad esempio uno smartphone aziendale o una pen drive.
Le violazioni della privacy più comuni sono quelle derivanti dall’errore umano. Si pensi alla consegna o alla comunicazione di documenti contenenti dati personali alla persona sbagliata. Più gravi sono i casi di errata pubblicazione dei dati, quando questi vengono comunicati con strumenti a larga diffusione, ad esempio con un invio massivo di email o tramite la pubblicazione sul web.
Infine, una delle ipotesi più comuni e pericolose di data breach è quella del c.d. insider misuse. Si tratta del caso in cui una persona interna all’azienda sottrae dati personali abusando dei suoi privilegi e delle sue autorizzazioni. Si pensi al caso del dipendente che, licenziatosi dall’impresa, si porti via il database con le informazioni riservate dei clienti.
Quando è necessario segnalare un data breach al Garante
A partire dal 25 Maggio 2018, il titolare deve notificare le violazioni della privacy all’Autorità Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
L’obbligo di notifica dei data breach non è una novità assoluta per il nostro ordinamento. Il Garante Italiano aveva infatti già previsto quest’obbligo per gli operatori telefonici ed per le violazioni dei dossier sanitari elettronici. Peraltro, in questi casi specifici i termini per effettuare la notifica sono più ristretti, rispettivamente 24 e 48 ore.
Nel caso in cui i suddetti termini vengano superati, il titolare dovrà essere in grado di giustificare il ritardo.
L’obbligo di notifica dei data breach però non sussiste in tutti i casi. Il titolare non dovrà notificare la violazione quando è in grado di dimostrare che questa non presenta un rischio per i diritti e le libertà delle persone fisiche. Ad esempio, se il titolare aveva protetto i dati mediante crittografia e conservato adeguatamente la chiave di decriptazione, il data breach potrà considerarsi inoffensivo.
Il contenuto della notifica al Garante
La comunicazione del data breach al Garante dovrà contenere almeno i seguenti elementi:
- una descrizione della natura della violazione, dei dati compromessi e del numero approssimativo degli interessati;
- il nome ed i dati di contatto del DPO o di un altro soggetto con cui interfacciarsi;
- la descrizione della possibili conseguenze;
- la descrizione delle misure adottate per porre rimedio alla violazione della privacy o attenuarne gli effetti.
Quando è necessario notificare un data breach agli interessati
Quando la violazione della privacy comporta un rischio elevato per i diritti e le libertà degli interessati, il titolare dovrà comunicare il data breach anche a loro. Ciò deve essere fatto al fine di consentirgli di prendere le precauzioni necessarie per evitare o limitare i danni.
Ad esempio, se vengono violate le password degli utenti di un sito web contenente dati personali, il titolare dovrà notificare il data breach al Garante ed alle persone interessate, consigliando di modificare immediatamente le password.
La comunicazione ai soggetti interessati può essere evitata in tre casi:
- quando il titolare abbia preventivamente adottato misure adeguate di protezione dei dati (ad es. la cifratura);
- nei casi in cui il titolare abbia successivamente adottato rimedi adeguati a scongiurare un rischio elevato;
- quando la comunicazione richiede sforzi sproporzionati. In questi casi, il titolare potrà ricorrere a comunicazioni pubbliche, mediante comunicati web o pubblicazioni.
La registrazione dei data breach
Il titolare del trattamento deve documentare le violazioni della privacy. A tal fine, occorre predisporre un registro dei data breach, dove annotare la descrizione della violazione, le sue conseguenze ed i provvedimenti adottati per porvi rimedio.
L’annotazione dei data breach è necessaria affinché il titolare possa imparare dai propri errori. Infatti, il miglior modo per mettere in piedi un efficace sistema di gestione privacy è quello di studiare le violazioni, accertarne le cause e porre in essere misure adeguate ad evitare che si ripetano.
Adottare una procedura interna per la gestione dei data breach
Le procedure da seguire in caso di data breach ben si conciliano con il principio di accountability (responsabilizzazione), su cui si fonda l’intero impianto del GDPR. All’imprenditore viene chiesto di monitorare i propri errori, attivarsi immediatamente per porvi rimedio, imparare dai propri sbagli ed infine documentare tutto.
L’unico modo per essere in grado di rispettare le norme imposte dal GDPR in materia di data breach è quello di dotarsi di una procedura interna. Ogni impresa deve istruire il proprio personale innanzi tutto a riconoscere i data breach. Dopodiché, il titolare deve fare in modo che la violazione non venga ignorata, bensì comunicata immediatamente al DPO o ad un diverso soggetto responsabile. Infine, è indispensabile dotarsi di strumenti che permettano di individuare i data breach, ad esempio utilizzando un sistema di monitoraggio dei log al sistema informatico, nominando un amministratore di sistema etc.
Ancora più importante è non aspettare che il data breach si verifichi, bensì agire in via preventiva. A tal fine è necessario effettuare un’analisi dei rischi e predisporre misure adeguate a prevenirli, come ad esempio la crittografia, l’adozione di antivirus e firewall, la modifica periodica delle password etc.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.