Nell’era digitale il susseguirsi di eventi di cronaca riportanti notizie di incidenti informatici e non, da cui sia derivata una violazione della privacy, è ormai all’ordine del giorno; dai virus più o meno sofisticati agli errori umani, dalle sottrazioni di banche dati alle alterazioni di file, dai furti di password ai ricatti online e così via.
Di conseguenza, prima è aumentata la percezione e poi il timore, che i propri dati personali possano essere persi, modificati o divulgati senza autorizzazione. Questo è il motivo per cui il Regolamento UE 2016/679 (GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati è entrato in vigore il 25 maggio del 2018 e stabilisce, tra le altre cose, anche come un’organizzazione (azienda privata o ente pubblico) debba comportarsi in questi casi.
La mancata compliance al GDPR potrebbe avere un forte impatto sul business delle imprese, non solo bloccando l’operatività, ma anche creando un danno di reputazione. L’Autorità di controllo, ossia il Garante per la Protezione dei Dati Personali, sanziona i trasgressori con pesanti multe fino a 20 milioni di euro o con il 4% del fatturato annuo del gruppo, se superiore alla cifra appena citata.
Il primo passaggio per i titolari e i responsabili dei trattamenti, preliminare a qualsiasi altra azione successiva, è quello di accertarsi, anche con il supporto del Data Protection Officer (DPO), qualora nominato, che quanto accaduto rappresenti effettivamente una violazione.
Una violazione dei dati personali può comportare danni fisici, materiali o immateriali. Questi possono includere la perdita di controllo sui propri dati personali, la limitazione dei diritti, discriminazioni, furto o frode dell’identità, perdite finanziarie, danni alla reputazione, divulgazione non autorizzata di dati personali protetti da segreto professionale e, in generale, qualsiasi implicazione di carattere economico o sociale.
Quando le aziende devono affrontare i temi della protezione dei dati non ci sono solo da evitare le pesanti multe del GDPR, così come non ci sono solo da tutelare i diritti delle persone. C’è anche da difendere l’intero patrimonio informativo, composto da dati commerciali e strategici, segreti industriali, dossier riservati, e tante altre informazioni che devono rimanere confidenziali; e dalla cui sicurezza può dipendere il futuro dell’azienda stessa.
Sul sito istituzionale del Garante della Privacy si definisce Data Breach: “Una violazione di sicurezza che comporta — accidentalmente o in modo illecito — la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.”
Tre sono quindi i tipi di violazione: perdita di riservatezza, di integrità e di disponibilità. È una violazione che tocca la riservatezza quella che consiste in una diffusione o in un accesso non autorizzato o accidentale ai dati; riguarda, invece, la sfera dell’integrità una modifica non autorizzata o accidentale; concernono la disponibilità dei dati, infine, l’impossibilità di accesso, la perdita e la distruzione non autorizzata o accidentale.
Sovrastimare o sottovalutare l’importanza del Data Breach è in realtà più frequente di quanto immaginiamo e compiere correttamente questa operazione diventa fondamentale nel processo dell’incidente. Solo una corretta identificazione di quanto accaduto potrà aiutarci a stabilire quanto la violazione sia stata grave e quali siano le azioni correttive che dovremo intraprendere.
Un esempio: qualora il personale di un ospedale non avesse accesso, anche solo temporaneamente, ai dati dei pazienti, sussisterebbe un rischio non trascurabile per gli interessati che potrebbero vedere compromesso il proprio percorso di cura. Al contrario, se una società, a causa di un temporaneo blackout, non avesse modo di accedere ai dati personali dei propri clienti per inviare una newsletter è molto probabile che ciò non comporti rischi tali da determinare la notifica all’Autorità.
Il GDPR interviene stabilendo, all’art. 33, i casi in cui una notifica dell’incidente debba essere inviata all’Autorità di controllo. Questi casi comprendono, sostanzialmente, quelle violazioni che possono avere importanti ripercussioni sugli individui, causando dei rischi non trascurabili per i diritti e le libertà degli interessati.
Se il rischio è elevato, oltre alla notifica al Garante, l’art. 33 del GDPR sancisce anche l’obbligo di trasparenza a favore dei soggetti potenzialmente danneggiati. Per fare un esempio: se fossero rubate le password di accesso a un conto online, il correntista deve essere avvertito senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare viene a conoscenza del fatto.
A prescindere dall’obbligo di notificare l’accaduto, il GDPR prevede che la violazione dei dati sia tracciata e descritta dal titolare del trattamento, così come le contromisure intraprese e previste per la Valutazione d’Impatto (DPIA) ex art. 35 GDPR. Su richiesta dell’Autorità di controllo, tale documentazione dovrà essere disponibile, poiché costituisce prova di conformità al requisito del GDPR, ovvero di applicazione del principio di responsabilizzazione (c.d. accountability).
Il report “Kaspersky’s State of Industrial Cybersecurity 2019” rivela che due terzi delle organizzazioni industriali, sottoposte al sondaggio, ignora le Linee Guida delineate dal Gruppo di Lavoro Articolo 29; i risultati evidenziano, inoltre, come il 36% del campione colpito da un Data Breach riguardi le PMI.
Il primo passo nella gestione degli incidenti di sicurezza è quindi la consapevolezza (c.d. awarness) che qualsiasi organizzazione possa subire nel tempo delle violazioni e che quindi debba predisporre degli adeguati presidi a salvaguardia delle proprie informazioni in termini di metodologia, processi e strumenti a supporto. Naturalmente il livello di presidio potrà essere di diversa entità in funzione delle dimensioni dell’organizzazione stessa.
Una risposta rapida, strutturata ed efficace ad un evento di sicurezza, in grado di mitigare costi, rischi e conseguenze del Data Breach dipende dalla misura in cui un’organizzazione intende investire nella gestione degli incidenti oltre che dalle dimensioni dell’organizzazione stessa, dalla tipologia delle informazioni trattate e dalle caratteristiche del trattamento.
La gestione delle violazioni e tutta l’architettura giuridica del GDPR si basa sul concetto di prevenzione. Prevenire significa garantire l’accountability: il titolare del trattamento deve avere un atteggiamento proattivo, accertarsi e dimostrare che gli strumenti e le procedure implementate nella gestione dei dati personali siano adeguati fin dalla progettazione, secondo impostazione predefinita, nel rispetto dei principi di privacy by design and by default espressi dal Regolamento.
La procedura di gestione della violazione dei dati è una componente importante del sistema di gestione della conformità al GDPR e, come tale, deve essere anch’essa oggetto di miglioramento. Occorre identificare e fare tesoro degli eventuali errori commessi, nonché delle situazioni che sono state gestite in modo non adeguato, al fine di capitalizzare l’esperienza fatta e trasferirla nelle successive revisioni della procedura, nei format contrattuali e nelle designazioni dei fornitori in qualità di Responsabili del trattamento.