Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROCCIO CORRETTO

Cosa fare prima del data breach: le misure preventive

Il GDPR non da nessuna prescrizione su misure da adottare per prevenire, individuare o gestire le violazioni di dati personali. Per affrontare al meglio un data breach è opportuno predisporre ruoli e procedure all’interno dell’organizzazione aziendale. Ecco in che modo

21 Mar 2019
C

Paolo Calvi

Data Protection Officer, P4I - Partners4Innovation


Tutti sanno ormai cos’è un data breach e come gestire una violazione di dati personali. Poco si parla, invece, di cosa fare prima che accada un data breach e quindi per prevenire una possibile violazione.

La gestione delle violazioni di dati personali, a rigore, non costituisce una novità assoluta introdotta dal GDPR. Nella normativa previgente (art. 32 bis del Codice Privacy, Regolamento UE 611/13 e diversi Provvedimenti del Garante) qualche prescrizione era già presente per settori specifici: società telefoniche e internet provider, dossier sanitari elettronici, dati biometrici, amministrazioni pubbliche (nel caso di impatto significativo) e banche (per casi di particolare rilevanza).

Forse per questo motivo all’entrata in vigore del GDPR non è fiorito su questo tema un dibattito particolarmente vivace, a differenza di quanto avvenuto a riguardo di altri istituti innovativi quali la pratica della DPIA o la figura del DPO.

Persino le Linee Guida WP250 (adottate dal WP29 il 3/10/17) chiariscono e dettagliano ma aggiungono poco.

Ma vediamo se è proprio tutto così scontato.

Partiamo da come questa materia viene normalmente definita: “Notifica del data breach”. Infatti, l’art.33 del GDPR è appunto rubricato come “Notifica di una violazione dei dati personali all’autorità di controllo”. E il contenuto dell’articolo stesso, sin dal primo paragrafo, proprio a questo si riferisce: obbligo per il titolare di notifica al Garante, obbligo per il responsabile di informare il titolare, contenuto della notifica, modalità di fornitura delle informazioni, documentazione delle violazioni.

Poi c’è l’art.34, relativo alla comunicazione delle violazioni agli interessati.

Nessuna prescrizione in questi due articoli su misure da adottare per prevenire, individuare o gestire le violazioni.

Teniamo tuttavia presente che gli artt. 33 e 34 (nell’ambito della Sezione 2 del GDPR, dedicata alla Sicurezza dei dati personali) sono preceduti dal 32, che prescrive al titolare (e al responsabile) di mettere in atto “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”. Appare quindi evidente che la Sezione 2 vada letta nel suo insieme, e che ne discenda la necessità di adottare misure adeguate prima del verificarsi del data breach.

Non dimentichiamoci, infine, che lo spirito dell’intero Regolamento è quello di esporre i principi, lasciando al titolare la scelta delle modalità da adottare per rispettare i principi. Vogliamo quindi supporre che il legislatore abbia inteso dire qualcosa tipo “non c’è bisogno di fare nulla per prevenire o contrastare le violazioni, basta che quando accadono mi mandi la notifica”? Evidentemente no.

Misure preventive per scongiurare un data breach

Consideriamo, inoltre, il contesto nel quale ci si trova a dover predisporre ed inviare la famosa notifica al garante. Si tratta certamente di un contesto di crisi, per due diversi motivi:

  • se c’è stata una violazione della sicurezza, bisogna agire con tempestività;
  • il GDPR prescrive tempi strettissimi (72 ore) per l’invio della notifica.

In questa situazione il titolare ha di fronte due possibilità: affrontare la questione solo nel momento in cui si verifica, improvvisando sul momento prassi e responsabilità, oppure predisporre ruoli e procedure.

Comprenderete allora perché sia opportuno adottare preventivamente alcune misure. Vediamo quali:

keyboard_arrow_right
keyboard_arrow_left

Ambito

Descrizione della misura

Ruoli e responsabilità

  • Individuare un responsabile con competenze in data protection per valutare le conseguenze sui diritti degli interessati e gestire la notifica delle violazioni.
  • Individuare un Responsabile IT con competenze sugli aspetti tecnici per prevenire e gestire le violazioni.
  • Definire ed attuare un piano di formazione degli Incaricati al trattamento dei dati personali.

Misure organizzative

  • Predisporre una procedura/regolamento.
  • Definire il livello di rischio in caso di violazione per ogni trattamento di dati personali.
  • Verificare eventuali vincoli contrattuali esistenti con i nostri clienti.
  • Prevedere vincoli contrattuali con i nostri fornitori che trattano dati personali per nostro conto.

Prevenzione delle violazioni

In aggiunta ai sistemi di sicurezza già presenti, valutare l’adozione di sistemi atti a prevenire le violazioni.

Rilevazione delle violazioni

Definire gli eventi scatenanti la segnalazione di una violazione e adottare strumenti atti a rilevarli

Prevenzione delle conseguenze

Valutare l’adozione di sistemi atti a prevenire rischi per i diritti degli interessati (ad esempio, la crittografia).

Classificazione dei rischi

Fra le misure organizzative da prevedere in procedura, particolare rilevanza assume la classificazione preventiva dei rischi. Si tratta di una distinzione niente affatto accademica, che ha invece conseguenze concrete ai fini della gestione della violazione (e relativa notifica):

  • rischio assente: la notifica al Garante non è obbligatoria solo nei casi in cui è possibile comprovare la totale mancanza di rischi;
  • rischio presente: in presenza di rischi per gli interessati, è necessaria la notifica al Garante. Principali rischi per diritti e libertà degli Interessati conseguenti ad una violazione:
  1. danni fisici, materiali o immateriali alle persone fisiche;
  2. perdita del controllo dei dati personali;
  3. limitazione dei diritti, discriminazione;
  4. furto o usurpazione d’identità;
  5. perdite finanziarie, danno economico o sociale;
  6. decifratura non autorizzata della pseudonimizzazione;
  7. pregiudizio alla reputazione;
  8. perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari).
  • rischio elevato: in presenza di rischi “elevati”, è necessaria anche la comunicazione agli interessati. I rischi per i diritti e le libertà degli interessati possono essere considerati “elevati” quando la violazione può, a titolo di esempio:
  1. coinvolgere un rilevante quantitativo di dati personali e/o di soggetti interessati;
  2. riguardare categorie particolari di dati personali;
  3. comprendere dati che possono accrescere ulteriormente i potenziali rischi (ad esempio, dati di localizzazione, finanziari, relativi alle abitudini e preferenze);
  4. comportare rischi imminenti e con un’elevata probabilità di accadimento (ad esempio, rischio di perdita finanziaria in caso di furto di dati relativi a carte di credito);
  5. impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (ad esempio, pazienti, minori, soggetti indagati).

Risulta quindi evidente che, nel frangente di una violazione, poter ricorrere ad una preventiva classificazione del rischio relativo sarà di grande aiuto per prendere le decisioni corrette nei tempi prescritti.

Resta tuttavia inteso che ciò non esaurisce le analisi da condurre al momento in cui si verifica la violazione, che dovranno tenere conto anche di elementi di contesto, ovviamente non preventivabili.

La stessa classificazione potrà anche essere opportunamente integrata nel registro dei trattamenti, all’interno del quale già saranno presenti alcuni dati obbligatori secondo l’art. 30 del GDPR, quali le categorie di dati particolari, il tipo di interessati, la presenza di dati di minori ecc.

Vero è che, a rigore, l’eventuale violazione non riguarderà i trattamenti ma i dati e gli asset (cartacei o digitali) che li contengono; tuttavia, considerando il registro dei trattamenti il documento base su cui poggia l’intero apparato gestionale della data protection (analisi dei rischi, misure di sicurezza, nomine dei responsabili esterni, informative e consensi ecc.) appare conveniente rapportare anche questa classificazione al registro stesso.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5