Il data breach viene considerato un evento, un incidente di sicurezza, (tecnicamente si parla di impatto) da cui consegue la perdita, il furto, la manomissione ma anche la sola consultazione non autorizzata di dati sensibili. Solitamente tali dati vengono divulgati in maniera volontaria o meno e possono essere di diversa natura: finanziaria, sanitaria ma anche dati personali come codici personali o documenti di identità.
Comprometterne la riservatezza, l’integrità o la disponibilità è un’ipotesi espressamente prevista e regolata sia dal legislatore europeo che da quello nazionale.
Punto cardine è il Regolamento Generale sulla Protezione dei Dati, più comunemente detto GDPR (Reg. UE 679/2016), che ha come specifico obbiettivo la protezione dei dati di carattere personale delle persone fisiche (art. 8 CEDU e art. 16 TFUE). Dalla sua entrata in vigore, sono più di 60 mila le violazioni registrate sul territorio UE.
Il caso di data breach più famoso è molto probabilmente quello di Cambridge Anlytica che ha visto coinvolti sia i governi americani che russi: nel 2015 la società di consulenza britannica, avrebbe utilizzato in maniera illecita i dati di oltre 50 milioni di utenti delineandone profili psicologici e comportamento, in base al monitoraggio delle loro attività su Facebook. Il sospetto è che Cambridge Analytica abbia utilizzato tali dati, per prevedere e influenzare le urne americane all’insaputa degli stessi elettori; altri episodi rilevanti hanno coinvolto società come Google, Myspace Linkedin e la catena alberghiera Marriot. Questo ultimo caso si caratterizza per il fatto che la violazione è iniziata nel 2014 ma individuata “solo” nel 2018.
Da un punto di vista pratico, dobbiamo identificare due soggetti cui il reg. 679/2016 ricollega obblighi di diversa natura al verificarsi di una violazione di dati personali.
Il GDPR definisce il titolare del trattamento (o data controller) come “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4 n. 7)). In altre parole, il titolare è colui che decide il motivo e le modalità di trattamento dei dati senza ricevere alcuna istruzione da altri.
Il responsabile del trattamento è invece “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Gli obblighi del responsabile del trattamento nei confronti del titolare devono essere specificati in un contratto o in un altro atto giuridico.
• Obblighi preventivi
L’art. 32 impone al titolare ed al responsabile di porre in essere misure tecniche ed organizzative per garantire un livello di sicurezza adeguato al rischio di violazioni, tenuto conto della natura del contesto e delle finalità del trattamento. In particolare, se del caso, dovrebbero essere previsti:
- la pseudonimizzazione e la cifratura dei dati personali
- la capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Tali misure hanno quale obbiettivo garantire la tutela dei diritti dell’interessato sin dalla fase della loro progettazione (cd. privacy by design).
• Adempimenti
Al verificarsi di un data breach, il titolare del trattamento, salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche, è tenuto a notificare l’accaduto all’autorità di controllo competente (il Garante) senza ritardo e, quando possibile, entro 72h dal momento in cui ne è venuto a conoscenza. La notifica tardiva dovrà essere motivata.
Per quanto concerne il responsabile del trattamento, questi deve invece informare il titolare senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
L’art. 33 elenca, poi, i requisiti formali e sostanziali che la notifica deve rispettare.
Dobbiamo ricordare però che in media un’azienda impiega 197 giorni per identificare una violazione, ma ovviamente gli obblighi scattano dal giorno in cui questa viene individuata.
• Comunicazioni all’interessato
Se la violazione può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è inoltre tenuto a comunicare il fatto all’interessato senza ingiustificato ritardo, in modo semplice e chiaro. Lo stesso titolare è esentato da tale obbligo quando:
- questi ha posto in essere misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione
- lo stesso ha successivamente ha messo in atto misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati
- la comunicazione richiederebbe sforzi sproporzionati. In tal caso sarà possibile sostituirla con una comunicazione pubblica.
• È possibile prevenire un data breach?
Ovviamente la risposta è no, basti solo pensare che circa 4.800 siti web vengono violati ogni mese e la statistica tende ad aumentare. È impossibile prevedere se si sarà oggetto di un attacco o di un incidente, quando questo avverrà e tantomeno la natura dello stesso, essendo questi una categoria in continua evoluzione. Occorre tener presente che le cause di un data breach non risiedono sempre in crimini di carattere economico ma possono originarsi anche in comportamenti errati interni alla stessa organizzazione. Si attesta che il 35% delle violazioni è dovuto ad errori umani e, circa un quarto è sorto da attacchi derivanti da applicazioni web, la maggior parte dei quali attribuibili all’utilizzo di credenziali rubate e utilizzate per accedere alle email su cloud. Sicuramente una accurata valutazione dei rischi e la definizione di misure di tipo tecnologico e organizzativo rappresentano dei buoni “scudi” atti a mitigare il rischio.
Lo stesso GDPR, come abbiamo visto, impone la predisposizione di forme di tutela e prevenzione pur lasciando al titolare grande discrezionalità nella realizzazione delle stesse.
Alcuni esempi:
- Redigere il registro dei trattamenti (obbligatorio per imprese e organizzazioni con più di 250 dipendenti).
- Investire su formazione del personale ed il suo costante aggiornamento
- Eseguire Test periodici
- Compliance
- Tracciare i casi di data breach
È chiaro che questi rappresentano solo alcuni dei possibili accorgimenti realizzabili.
Occorre inoltre ricordare standard come l’ISO 27001, che ha come obbiettivo proprio la tutela delle informazioni, ed adeguarsi a queste normative è sicuramente una forma di protezione importante.
Bisogna specificare però che non vi sono forme di tutela generalizzate. La realizzazione di un comparto di strumenti e regole finalizzate alla tutela dei dati non è semplice e non è una “ricetta” uguale per tutti. Occorre tenere presente il contesto ed il caso concreto per riuscire a realizzare forme di protezione realmente efficaci. Mettere in atto i dettami di una lista uguale per tutti è sicuramente inutile e con evidenti limiti.
• Conseguenze del data breach
Oltre al doveroso rispetto degli obblighi previsti per legge (utile ricordare che, ex art. 83, in caso di violazione del GDPR le sanzioni possono arrivare sino a 20 milioni di euro o il 4% del fatturato annuo dell’esercizio precedente), un episodio di data breach comporta spesso anche un danno reputazionale e conseguenze di tipo economico. L’esempio di sanzione più elevata ad oggi è quella che è stata comminata al gruppo inglese Marriot International di circa cento milioni di sterline, pari a quasi 110 milioni di euro.
Ma in un mondo attuale così competitivo anche la reputazione rappresenta di per sé un valore economico, basti pensare che Google è stata portata ad accelerare la chiusura del social network Google+ proprio in seguito alla perdita di 52,5 milioni di dati di utenti nel 2019. A questo dobbiamo inoltre aggiungere che chiunque subisca un danno, causato dalla violazione del regolamento, gode del diritto al risarcimento del danno sia dal titolare che dal responsabile inadempiente.
In conclusione, appare evidente che la sicurezza dei dati non è certo argomento che le aziende e PA possono oggi prendere sotto gamba perché implementare le misure mediante strumenti qualificati può ridurre il rischio, la portata e le conseguenze di un eventuale data breach. Il tipico discorso dove “prevenire è meglio che curare” ed è doveroso riconoscere che in questo caso le cure possono essere molto costose.
Nessun commento:
Posta un commento