Come comportarsi in caso di data breach?

Innanzitutto, niente panico e assicurarsi sempre di avere dietro il proprio asciugamano.

Alla fine è successo. Nel tuo sistema c’era una falla e qualcuno se ne è approfittato per effettuare quello che, in gergo, viene definito un data breach. Una violazione dei dati personali. Stai “tranquillo”, non è un fenomeno insolito. I più fortunati incorrono in quest’eventualità meno di una volta all’anno, ma in un mondo che si evolve così velocemente come internet può capitare che quest’eventualità si faccia molto più frequente. Mentre cerchi di non sprofondare nel panico, ti invitiamo ad attenerti alla prassi: per gestire una violazione devi seguire le indicazioni del Regolamento Europeo 16/679 (GDPR) che offre una guida su come comportarsi se si verifica una violazione dei dati.

Che cos’è un data breach?

Le violazioni dei dati personali sono di 6 tipi, e ognuno di questi può essere volontario o accidentale in base al motivo per cui si è verificato:

• Accesso non autorizzato. Qualcuno non avrebbe potuto accedere a certe informazioni, eppure lo ha fatto. Nel caso in cui si sia trattato di un errore, potresti aver mandato un documento importante a una persona invece di un’altra. È stato un incidente, ma si tratta comunque di violazione dei dati. Nel caso in cui però tu abbia effettuato un accesso non autorizzato sui dati di qualcuno, questo evento può diventare spionaggio.
• Copia non autorizzata. Qualcuno ha preso dei dati che non gli spettavano e li ha copiati per sé. Potrebbe trattarsi di un incidente nel caso in cui un collaboratore abbia deciso di stampare un documento che non avrebbe dovuto per compilare meglio un documento di lavoro. In caso di copia volontaria per obiettivi meno limpidi, potrebbe trattarsi di furto.
• Divulgazione non prevista. Qualcuno diffonde accidentalmente dei dati che non dovrebbero trovarsi online per nessun motivo. Per esempio, la foto di un importante cliente viene rilasciata sul profilo Facebook aziendale. In caso di dolo, questa operazione si chiama diffusione.
• Modifica non autorizzata. Qualcuno ha modificato dei dati, pur non potendo farlo. Qualora fosse capitato per errore, di questo si tratta. In caso opposto potrebbe trattarsi di manomissione da parte di un hacker o di un malintenzionato.
• Perdita d’accesso. Qualcuno perde informazioni e queste non sono più disponibili. Dimenticare la password del proprio computer è una violazione, lo sapevi? E nel caso in cui sia stato fatto apposta, diviene cifratura.
• Cancellazione dei dati. Qualcuno cancella dei dati sensibili. Se questo è successo per errore, trattasi di violazione. Ma nel caso in cui la cancellazione è volontaria, si incorre nella distruzione dei dati.

Violazione dei dati personali: come comportarsi?

Fai riferimento agli articoli 33 e 34 del GDPR. Questi due articoli fanno riferimento alla regolamentazione europea che cerca di indicare le procedure da seguire in caso di data breach. L’articolo 33 riguarda la gestione interna dell’azienda e dei rapporti con il Garante, mentre il 34 riguarda la gestione con gli interessati, ovvero le persone di cui abbiamo i dati personali.

È fondamentale specificare che il data breach va sempre registrato e, in caso, notificato al Garante secondo quanto dichiarato nell’articolo 33. Questo dice anche che in caso di violazione, il titolare del trattamento deve notificare l’avvenuto alle autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza, specialmente se questo presenta un rischio per i diritti e la libertà di persone fisiche. I responsabili del trattamento (studio paghe, commercialista, sistemisti…) devono notificare al titolare del trattamento.

Se si decide di notificare al Garante, questo ha bisogno di informazioni: naturale della violazione, ammontare delle persone coinvolte, dati del contratto del responsabile della protezione dei dati, possibili conseguenze della violazione e eventuali misure adottate o da adottare.

L’azienda ha comunque l’obbligo di comunicare tutto quello che succede, indipendentemente dal fatto che si tratti di violazioni involontarie o volontarie, e assumersi la responsabilità (accountability).

La responsabilità?

L’azienda deve essere responsabile, competente e consapevole di quello che succede nei suoi ambienti e nei suoi sistemi. L’azienda deve dare prova di essere capace di risolvere il problema in maniera proattiva e dare dimostrazione di avere gli strumenti per arginare le conseguenze del data breach. Questo si fa fornendo prove e dati – e proponendoti di offrire al Garante una sicurezza che quanto avvenuto non accada mai più. In caso di mancata “accountability”, si incorre in una sanzione.

Quali sono le violazioni da comunicare al Garante?

Al Garante vengono comunicate solo le violazioni volontarie e non quelle accidentali. Il titolare del trattamento deve decidere se notificare o no, nella logica dell’accountability, se il data breach può causare danni ai diritti e alla libertà delle persone. L’ENISA (The European Union Agency for Cybersecurity) ha creato una metodologia per calcolare il rischio sulla libertà delle persone a fronte di una violazione. Questa metodologia si può applicare anche in azienda.

Come si capisce se c’è stata una violazione?

La violazione va compresa per essere davvero individuata. Questo risulta fattibile nel caso in cui in azienda esista una formazione adeguata a stimare il rischio e a comprendere eventuali danni. In poche parole, non serve un ingegnere che entri in scena per due mesi nel tentativo di stimare gli eventuali danni di una chiavetta perduta: ci vuole un corso di formazione che aiuti il personale disponibile a capire l’entità del danno senza gravare sui costi già importanti di gestione. In poche parole, il personale dev’essere formato su che cosa comporta una violazione e sulla comunicazione tempestiva della procedura agli interessati.

L’articolo 34 ci dice che il titolare del trattamento può non comunicare la violazione all’interessato quando:

• Vengono messe in atto misure tecniche e organizzative adeguate, effettuando però una comunicazione al Garante e dando prova di essere in possesso dell’accountability.
• Ha adottato misure atte a scongiurare un elevato rischio di data breach.
• La comunicazione può essere tralasciata qualora richieda uno sforzo sproporzionato – in questo caso, dev’essere dichiarato pubblicamente!

La violazione dei dati può capitare. Ma come pensi di poterla gestire?