Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REGOLAMENTO UE

Data breach e modelli preventivi di gestione delle non conformità: strategie di compliance

Gestire consapevolmente un data breach costituisce un indubbio vantaggio per le organizzazioni che, nell’affrontare uno dei momenti più critici e delicati del trattamento, la violazione della sicurezza dei dati personali, devono dimostrare di conoscere e saper applicare i principi di accountability e privacy by default

27 Dic 2019
S
Daniele Santucci

Privacy Officer, consulente privacy e auditor, Delegato Provinciale Federprivacy


Le violazioni di dati (data breach) devono essere individuate, affrontate e – ove necessario – segnalate all’autorità e agli interessati. Questo processo richiede un considerevole impegno da parte delle organizzazioni sia sul piano operativo che decisionale.

A fronte di possibili e significative conseguenze per il titolare del trattamento, in termini di danno economico e reputazionale, le prassi da seguire impongono una lucida consapevolezza nella scelta delle azioni necessarie a contenere il rischio.

Non di meno, le violazioni devono essere prevenute: questa capacità si inserisce in un contesto ben più ampio di compliance, di cui la gestione del data breach rappresenta l’apice, il banco di prova della buona organizzazione e degli sforzi di conformità a tutela dei dati personali compiuti dai titolari e dai responsabili.

In più occasioni la questione del data breach è stata affrontata sotto il profilo operativo, metodologico e sul piano delle conseguenze per gli interessati e i titolari, incluse, per questi ultimi, quelle sanzionatorie[1]. Ad esempio, si è molto discusso in merito alle modalità di classificazione delle violazioni (analizzando metodi di valutazione noti, come quello dell’ENISA[2], o altri modelli proprietari), si è parlato delle fasi da seguire in caso di incidente, o ancora riguardo le procedure formali di comunicazione della violazione al Garante mediante il modello di notifica.

In queste righe si cercherà di proporre una lettura dell’argomento connessa alle opportunità offerte da una corretta e consapevole gestione delle violazioni, a partire dalle fasi di prevenzione e di pianificazione che dovrebbero essere parte di ogni buon sistema di gestione e controllo dei dati personali.

Non ci si soffermerà sulle conseguenze sugli interessati, questione ben argomentata nei considerando del GDPR[3] e dalle linee guida WP2050 dell’EDPB[4], preferendo altresì un approccio orientato agli aspetti di governance dei dati.

Innanzitutto, va osservato come le prassi di corretta e consapevole gestione del data breach racchiudano in sé molti principi chiave ricorrenti nel GDPR, nelle raccomandazioni dell’EDPB e nelle indicazioni del Garante Privacy. Vediamo quali.

Gestione delle violazioni e accountability

Il concetto di accountability è stato ampiamente affrontato e dibattuto nella corposa letteratura e nei commentari che hanno seguito l’emanazione del Regolamento e delle successive norme nazionali di raccordo[5].

L’impianto normativo di matrice europea chiede alle organizzazioni, in modo piuttosto innovativo, di partecipare attivamente all’applicazione dei principi stabiliti dal Regolamento[6]. Ciò a partire dalla responsabilità, connessa all’esercizio pubblico e imprenditoriale, di dare senso compiuto alla norma in seno all’organizzazione e di saper mettere in atto, documentandolo, un adeguato complesso di misure di sicurezza finalizzato a rispettare il Regolamento ed a proteggere i dati personali.

La gestione delle violazioni rappresenta un’importante occasione di confronto con questo fondamentale principio di responsabilizzazione. Questo è vero tanto nella fase preliminare di pianificazione del sistema di gestione dei dati personali – che deve necessariamente prevedere l’eventualità del data breach – quanto nelle fasi di gestione della violazione dal momento del suo verificarsi fino alla notifica e definitiva chiusura. In questi momenti sono messe a dura prova le capacità valutative del titolare, la scelta delle misure di sicurezza nonché la loro efficacia e flessibilità in risposta all’incidente.

L’obiettivo, e la sfida, in un’ottica di gestione sistemica “by default” della protezione dei dati, è quello di trasformare la violazione, e la sua gestione preventiva, in una concreta opportunità di miglioramento per l’intera organizzazione.

Prepararsi alla violazione: predisporre la procedura

L’articolo 33 del GDPR, come anche sottolineato dal Garante[7], impone che tutte le violazioni debbano essere documentate, a prescindere dalla necessità di notifica.

Questa attività può essere condotta avvalendosi dei più disparati strumenti, da individuare anche in relazione alla complessità dell’organizzazione (dai semplici fogli di calcolo fino alle più evolute applicazioni software), ma richiede, preliminarmente, che l’organizzazione dimostri capacità di:

  • identificare tempestivamente la violazione (competenza e consapevolezza del personale);
  • accertarsi che la violazione sia subito comunicata alle funzioni competenti (comunicazione tempestiva);
  • valutare l’entità della violazione (criterio e metodologia di valutazione definiti);
  • valutare il rischio connesso alla violazione (valutazione dei rischi rispetto al trattamento oggetto di violazione);
  • documentare la violazione (aggiornamento del registro delle violazioni);
  • conoscere le azioni necessarie ad affrontare la violazione (contrasto e mitigazione degli effetti);
  • intraprendere le eventuali azioni di notifica alle autorità o agli interessati.

L’insieme di queste competenze rientra innanzitutto nelle buone prassi della pianificazione anticipata dei processi.

Diventa essenziale disporre una procedura documentata e condivisa in grado di individuare i compiti e le responsabilità, stabilire le priorità ed i criteri di valutazione e dettare le fasi di gestione della violazione. La procedura, così come l’eventuale notifica, deve essere parte del complessivo piano di gestione degli incidenti adottato dall’organizzazione, che può trarre immediato vantaggio dall’integrazione con le eventuali procedure di disaster recovery già esistenti o con i processi di gestione delle non conformità propri di altri sistemi di gestione (es qualità, sicurezza delle informazioni ecc.).

La procedura dovrà contenere almeno:

  • l’elenco dei soggetti referenti e responsabili della gestione delle violazioni a cui segnalare immediatamente l’evento (meglio se è identificato un referente per le violazioni);
  • il riferimento/link ai documenti o schede da compilare per la registrazione e segnalazione delle violazioni;
  • la descrizione delle fasi di gestione della violazione (meglio se sostenute da un diagramma di flusso);
  • le istruzioni su come contenere e porre rimedio all’incidente (avvalendosi di una tabella operativa di casi noti o esemplificativi);
  • il riferimento ai criteri di valutazione della gravità delle violazioni;
  • le modalità di notifica all’autorità e/o agli interessati;
  • il riferimento/link al registro delle violazioni e relative istruzioni di compilazione.

Se necessario, per snellire i documenti e migliorarne l’accessibilità, la procedura potrà essere articolata in Istruzioni Operative sintetiche e di immediata reperibilità (ad esempio nell’intranet o in cartelle condivise) con indicazioni pertinenti al ruolo o alla competenza.

Va ricordato che la procedura, come l’insieme dei documenti del sistema di gestione privacy, è uno strumento sostanziale di compliance ad uso dell’organizzazione del titolare o del responsabile. È uno dei tanti utensili della “cassetta degli attrezzi” della protezione dei dati e deve essere pratico, utile e migliorabile. In quanto tale è incompatibile con ogni sistema documentale troppo formale, rigido e burocratico.

Data breach e modelli preventivi: la consapevolezza

Saper identificare una violazione è una competenza che deve essere condivisa a tutti i livelli dell’organizzazione e costituisce la prima verifica sul campo di un buon sistema “privacy by default”.

Quello della consapevolezza è un argomento ampiamente affrontato dal WP250, che fin da subito mette in chiaro quanto sia importante riconoscere e rilevare tempestivamente la violazione [8]. Ma la scarsa formazione del personale impegnato nel trattamento potrebbe rappresentare un insidioso ostacolo.

Gli operatori, autorizzati o designati al trattamento[9], anche se hanno ricevuto le adeguate “istruzioni” previste dall’art 32 del GDPR, non sempre potrebbero saper riconoscere il presentarsi di una minaccia, soprattutto se di nuovo tipo o particolarmente insidiosa, come le raffinate tecniche di social engineering, studiate per tentare di indurre in errore il destinatario dell’attacco.

Oppure potrebbero sottostimarla pericolosamente, ritenendone inutile la segnalazione o addirittura tacerla, circostanza che può verificarsi in relazione alle condizioni del rapporto lavorativo.

Ciò esporrebbe il titolare ad un duplice rischio: non essere in grado di agire subito, incrementando la portata delle conseguenze negative su di sé e sugli interessati e non essere in grado fornire motivazioni soddisfacenti nel giustificare il ritardo della notifica (il modello di notifica prevede espressamente di indicare tali motivazioni).

Pertanto, una adeguata attività di formazione e sensibilizzazione sull’argomento dovrebbe includere almeno:

  • la definizione di data breach (sempre bene tenerla presente, racchiude tutti i rischi connessi al trattamento);
  • una serie di esempi e casi pratici di possibili violazioni aggiornati e pertinenti alla realtà organizzativa ed alla mansione svolta (tenendo presente che l’origine, la natura e le conseguenze del data breach possono essere molto diverse a seconda che si operi in un ambito pubblico, produttivo, sanitario o legato ai servizi digitali o dell’informazione. A sua volta si rileveranno le differenze in relazione all’area di appartenenza, es. marketing, Risorse Umane, IT ecc.);
  • un quadro delle conseguenze delle violazioni per gli interessati e per l’organizzazione, richiamando i concetti di rischio connesso al trattamento, la probabilità di accadimento delle minacce in relazione alle vulnerabilità, i principi di riservatezza, integrità e disponibilità);
  • l’importanza di una tempestiva rilevazione della violazione;
  • la reperibilità e le modalità di utilizzo degli strumenti di segnalazione (moduli di Non Conformità, schede di violazione ecc.);
  • le misure di sicurezza e le procedure adottate per contenere i rischi o le conseguenze della violazione;
  • i vantaggi della buona comunicazione e della condivisione delle informazioni in un contesto lavorativo sereno e aperto.

Oltre alla collaborazione delle persone, per i trattamenti informatizzati e gestiti in forma centralizzata sarà necessario dotarsi di strumenti in grado di rilevare immediatamente eventuali difformità o attività sospette e renderne disponibili le informazioni essenziali.

Ad esempio, utilizzando i log prodotti dai dispositivi di sicurezza delle reti (es firewall, Intrusion Detection/Prevention Systems ecc.), dai sistemi di autenticazione ed accesso alle risorse o applicativi (es Primary Domain Controller, sistemi Single sign-on ecc.) o ancora dai sistemi di backup (es. controlli della consistenza ed integrità dei dati): i log dovranno essere leggibili, disponibili e facilmente interpretabili (senza dover necessariamente ricorrere, almeno per le attività di controllo ordinario, ad interventi di specialisti esterni).

E magari collegati a sistemi di “allarme” che, sulla base di regole preimpostate, possano inviare notifiche in caso di attività sospette (es messaggi di segnalazione in caso di reiterati tentativi di accesso o intrusione, log-in in orari extra lavorativi, errori di backup ecc.).

Data breach e modelli preventivi: i responsabili del trattamento

Nella filiera del trattamento i responsabili, spesso coinvolti in processi chiave in virtù di una crescente tendenza all’esternalizzazione dei servizi, svolgono un ruolo particolarmente delicato sotto il profilo della gestione delle violazioni.

L’articolo 28 del Regolamento – anche una volta superate le annose questioni sull’identificazione del Responsabile[10] – non lascia spazio ad interpretazioni: “il responsabile del trattamento assiste il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36”, includendo quindi le prescrizioni dell’art. 33 e 34 riferiti alla gestione delle violazioni.

Sulla questione della tempestività torna anche il Garante: “Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi”.

L’obbligo normativo, in quanto tale, è parte integrante dei compiti del responsabile del trattamento e non sarà necessario ripeterlo negli accordi stipulati ai sensi dell’art 28 del Regolamento.

Più importanti, per soddisfare appieno la necessità di rilevazione tempestiva delle violazioni, sono le istruzioni sulle modalità di rilevazione e comunicazione della violazione al titolare, anche avvalendosi di strumenti di registrazione e segnalazione condivisi, tali da consentire un rapido avvio delle valutazioni circa l’entità e le probabilità del rischio.

Va ricordato che il responsabile deve limitarsi a stabilire se si è verificata una violazione dei dati e provvedere a notificarla al titolare del trattamento nel momento in cui ne viene a conoscenza, senza soffermarsi nelle valutazioni di probabilità di rischio, che spettano invece al titolare (WP250).

Nel caso del ricorso a fornitori “forti” (es provider di servizi digitali e applicazioni web) dove la negoziazione delle istruzioni può risultare più complicata, sarà necessario leggere bene gli accordi ex art 28, molto spesso già parte integrante dei contratti di servizio, per verificare le modalità di rilevazione e segnalazione delle violazioni adottate dal responsabile (e magari offerte come parte del servizio stesso) che, previa accorta valutazione, potranno essere integrate nel sistema di gestione del titolare.

Monitoraggio e miglioramento della procedura

La protezione dei dati personali, per sodisfare i termini di efficienza richiesti dalle norme, deve essere di tipo proattivo e affidata a sistemi di trarttamento “resilienti”, ovvero in grado – sulla base di azioni automatizzate o meno – di rispondere attivamente alla minaccia, adeguandosi ad essa ed al suo mutare, nell’obiettivo del continuo rafforzamento delle difese.

Questi termini, proattività e resilienza, sono piuttosto noti – fin quando non abusati – in ogni contesto di protezione attiva dei dati e delle informazioni.

Hanno altresì ragione di essere chiamati in causa in questo contesto perché nessuna adeguata risposta alla violazione può prescindere da una procedura di gestione del data breach adeguatamente pianificata e verificata secondo i criteri della proattività e della resilienza.

Nella stesura della procedura, e nel modello generale di gestione dei dati personali di cui è parte, occorre infatti attuare un approccio ricorsivo di controllo e miglioramento continuo, in grado di consentire all’organizzazione di verificare costantemente l’efficacia e l’efficienza della procedura di gestione delle violazioni evidenziandone i limiti e le criticità.

I risultati della verifica, particolarmente preziosi perché raccolti sul campo in occasione di un evento concreto, seppur critico, potranno essere sottoposti alla direzione ed alle funzioni responsabili (DPO, Responsabile IT, Responsabili di funzione coinvolti) così da adeguare, in risposta attiva all’evento, le prassi operative, l’analisi dei rischi, le misure di sicurezza, le eventuali valutazioni d’impatto ed i sistemi di trattamento.

Nel corso della violazione, ad esempio, potrebbero essere rilevate debolezze nelle modalità di rilevazione dell’evento a causa di personale non adeguatamente formato sui rischi connessi al trattamento o sulle tipologie e gravità delle violazioni.

Potrebbero risultare indisponibili, inefficienti o non comunicanti (es. tramite log) i sistemi di sicurezza informatica, oppure non essere adeguatamente protetti da accessi indesiderati gli archivi e le aree sensibili. Anche l’ambiente di lavoro, di per sé, potrebbe disincentivare la segnalazione di errori per reticenza o timore di ripercussioni professionali.

Ancora, il modello di valutazione delle probabilità del rischio potrebbe risultare inadeguato, imponendo al titolare di orientarsi verso la scelta di altri criteri.

Infine, ove se ne presentino le condizioni, le stesse indicazioni fornite dall’autorità, sollecitata dalla notifica della violazione ed in conformità all’atteso approccio collaborativo tra titolari e autorità di controllo[11], potrebbero costituire una fonte di miglioramento delle strategie di protezione dei dati, rendendo più efficiente il meccanismo di gestione delle violazioni e evitando il ripetersi delle circostanze che hanno portato al data breach (ciò ovviamente se l’esito del confronto con l’autorità non conduca ad un definitivo divieto di proseguire il trattamento).

I risultati di queste valutazioni partecipano al miglioramento del sistema di trattamento nel momento in cui l’organizzazione è in grado di restituirli al tavolo della pianificazione, traendo profitto dai pareri di tutti coloro che vi siedono, DPO, consulenti, Responsabili IT eccetera.

La gestione del data breach ed il registro delle violazioni, lungi dal rappresentare un ulteriore appesantimento burocratico, diventano strumento e occasione di verifica interna delle procedure e dei sistemi di trattamento nonché motivo dell’aggiornamento dell’analisi dei rischi e della revisione delle valutazioni di impatto.

La violazione diviene opportunità di “resilienza” per tutta l’organizzazione, una sorta di audit approfondito che mette alla prova non soltanto le scelte di protezione dei dati ma anche l’attitudine – a tutti i livelli, incluse le parti interessate esterne ed i responsabili del trattamento – al confronto con situazioni particolarmente stressanti.

In questi termini la gestione delle violazioni e la tenuta dei registri rappresentano un elemento di accountability di assoluto rilievo, poiché inducono ad una costante valutazione realistica delle circostanze che potrebbero condurre, o hanno condotto, al data breach e consentono al titolare di migliorare la sicurezza del trattamento e dimostrare su base responsabile e documentata la capacità di risposta dell’intera organizzazione.

Prove di evacuazione

Un buon sistema di sicurezza deve essere testato periodicamente con simulazioni di incidente. In ambiti piuttosto eterogenei i sistemi di sicurezza sono sottoposti a numerose prove del genere: le persone e le cose sono protetti dai danni alla salute ed al patrimonio (incendio, allagamento, eventi sismici e meteorologici, minacce intenzionali ecc.) da sistemi messi alla prova con esercitazioni pratiche e riproduzioni della minaccia.

Le reti e i sistemi di sicurezza e di gestione delle informazioni digitali sono testati mediante penetration test, vulnerability assessment stress testing, debugging ecc., per individuare nuove vulnerabilità a fronte della incessante evoluzione delle cyber minacce[12].

Allo stesso modo si può trarre beneficio dalla simulazione di un data breach per verificare l’efficienza delle procedure di gestione e la resilienza dei sistemi di prevenzione e risposta all’incidente (ricordando che il principio attiene alla capacità dei sistemi di reagire alle sollecitazioni negative, migliorandosi di conseguenza).

Oltre che a contribuire attivamente al rispetto di un requisito di legge (“mettere in atto una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”, art 32, paragrafo 1, lettera d) del GDPR), la simulazione rappresenta un’occasione preziosa per imparare a gestire situazioni stressanti, dove mantenere la lucidità può costituire un vantaggio significativo.

Queste “prove di evacuazione” possono essere programmate nel corso degli audit periodici, a partire da test ed interviste da sottoporre al personale ed alle funzioni chiave, come quelle IT, Marketing o HR, intorno alle quali più frequentemente, soprattutto nelle PMI, si snodano le criticità privacy.

Potrebbero essere condotte simulazioni in forma di “gioco delle parti”, in occasione delle attività di formazione oppure durante le attività lavorative, sotto la supervisione del DPO o delle funzioni responsabili. Fino ad arrivare, ove necessario o per realtà maggiormente delicate o strutturate (es. organizzazioni di servizi sanitari, socio-assistenziali, bancari e finanziari, assicurativi, digitali e di informazione ad accesso pubblico ecc.) a vere e proprie simulazioni di data breach.

In ogni caso i risultati saranno preziosi e potranno confluire nelle attività di aggiornamento della procedura e piano di miglioramento complessivo delle misure di sicurezza. La simulazione inoltre costituirebbe una sorta di addestramento alla gestione, anche psicologica, della crisi.

Conclusioni

Nella gestione delle violazioni la formazione, le procedure ed i registri, opportunamente inseriti in un contesto di compliance guidato da un modello organizzativo efficiente e flessibile, spingono a consolidare una cultura della sicurezza informatica ancora latitante in molte realtà pubbliche ed imprenditoriali, tra cui PMI e micro imprese, non di meno oggetto di attacchi informatici (ad esempio ransomware e simili).

Pensare alla concreta possibilità di un data breach fin dalle fasi pianificazione del sistema di gestione privacy costituisce una significativa opportunità di miglioramento delle strategie di protezione dei dati.

NOTE

  1. L’’argomento è stato spesso affrontato anche in questa testata: sono numerosi i contenuti classificati con il TAG “data breach”.
  2. ENISA: metodi di valutazione del data breach.
  3. Considerando 75 e 85 del GDPR
  4. GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679, WP250rev.01
  5. Su tutti la specifica sezione della Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali.
  6. Art 5 paragrafo 2 del GDPR.
  7. Pagina informativa del Garante Privacy sul data breach.
  8. Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679, WP250rev.01, GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Introduzione
  9. Art. 2-quaterdecies del Dlgs 196/2003 novellato
  10. Ad esempio, la “Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016” del Garante, seppur specifica, fornisce sulla quesitone preziosi spunti di riflessione di carattere generale
  11. “avvertimenti” e “ammonimenti” previsti dall’art. 58, paragrafo 2, del GDPR
  12. I bollettini tecnici specializzati sono aggiornati di continuo. Per citarne solo alcuni: CERT nazionale, ENISA, CLUSIT.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5