Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ADEGUAMENTI PRIVACY

La valutazione del rischio di un data breach: le best practice

La valutazione del rischio di un data breach è uno degli adempimenti più ostici introdotti dal GDPR. Proprio la quantificazione della probabilità di rischio per i diritti e le libertà delle persone fisiche è stata l’attività oggetto di maggiore attenzione. Ecco le best practice per una corretta gestione del data breach

08 Lug 2019
Z

Rodolfo Zani

Avvocato, Studio Associato Servizi Professionali Integrati Fieldfisher Global, DPO dell'Ordine degli Avvocati di Verbania


Ad un anno dall’entrata in vigore del Regolamento Europeo 2016/679, la gestione e la valutazione del rischio di un data breach si sono rivelate essere due degli adempimenti più ostici tra quelli introdotti dal GDPR, in particolare per quanto riguarda la valutazione del rischio per i diritti e le libertà delle persone fisiche conseguente alla violazione.

Nel periodo giugno 2018/marzo 2019 le notificazioni di data breach al Garante per la protezione dei dati personali sono state 946, come riferito dalla stessa Autorità[1].

Tale numero, sostanzialmente inferiore al dato medio europeo dove, in alcuni Paesi, si sono superate abbondantemente le 10.000 notifiche[2], non include naturalmente quelle che sono state ritenute dai titolari non meritevoli di notificazione.

A seguito di una violazione di dati è infatti in capo al titolare la responsabilità di valutare il rischio nei confronti degli interessati e la conseguente necessità di notificazione all’Autorità e/o la comunicazione agli interessati stessi.

Per le società che hanno subito una violazione, proprio la quantificazione della probabilità di rischio per i diritti e le libertà delle persone fisiche è stata l’attività oggetto di maggiore attenzione, perché la più delicata e spesso la meno normata.

È usuale trovare in azienda una procedura di data breach che definisca “chi fa cosa” e quale modulistica utilizzare. Diversamente, la valutazione del rischio è spesso lasciata all’indagine specifica del singolo caso, senza che siano individuati a monte criteri discretivi.

I tempi sono molto stretti (72 ore) e le conseguenze possono essere di grande impatto, anche economico, in quanto si ricorda che per la violazione della specifica normativa, può essere comminata una sanzione amministrativa pecuniaria sino 10.000.000 di euro o sino al 2% del fatturato annuo, elemento che consiglia certamente di predisporre uno strumento adeguato ad una pronta valutazione del rischio in caso di data breach.

Valutazione del rischio di un data breach: la normativa

La materia è disciplinata dal GDPR, che prevede all’art. 33 la notifica della violazione da parte del titolare all’Autorità di controlloa meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche” e, all’art. 34, la comunicazione della violazione all’interessato solo quando la violazione stessa “è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Sempre l’art. 33 stabilisce che qualsiasi violazione, anche se non notificata, vada comunque documentata.

La discrezionalità del titolare si ravvisa anche nella formulazione del Considerando 85, il quale avverte che “una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche”, senza però indicare criteri per valutare la probabilità che si “presenti un rischio per i diritti e le libertà delle persone fisiche”.

Una volta accertato il data breach, il titolare deve quindi effettuare la valutazione del rischio e prendere la decisione più adeguata. È indispensabile che la valutazione sia supportata da idonea documentazione, che andrà archiviata e allegata ai documenti analizzati dal titolare per assumere le proprie decisioni, al fine di consentire eventuali controlli dell’Autorità.

Tutte le possibili violazioni debbono in ogni caso essere registrate in apposita sezione del registro dei trattamenti o in uno specifico registro dei data breach con i risultati del processo di valutazione.

Con riferimento a possibili metodi di valutazione del rischio, diversi suggerimenti sono stati forniti dal WP29 e dai Garanti di alcuni Paesi.

Indicazioni sui metodi di valutazione del rischio di un data breach

Le prime indicazioni sono del WP29 (ora EDPB), inserite nelle Linee Guida sulla notifica delle violazioni dei dati personali del 2017 emendate nel febbraio 2018[3].

Al fine di valutare la gravità della violazione e quindi il grado di rischio per gli interessati, Il WP29 suggerisce di prendere in considerazione:

  • le caratteristiche particolari del titolare e degli interessati;
  • il numero delle persone fisiche coinvolte;
  • il tipo di violazione;
  • la natura della violazione;
  • il carattere sensibile e il volume dei dati personali violati;
  • la facilità di identificazione delle persone fisiche interessate.

Per calcolare il rischio, le Linee Guida propongono una formula elaborata dall’ ENISA – l’Agenzia della UE per la sicurezza delle reti e dell’informazione – che determina la gravità del data breach tenendo in considerazione tre fattori:

  • il contesto del trattamento (ad esempio dati finanziari, dati particolari ecc.);
  • la facilità di identificazione dell’interessato coinvolto;
  • le circostanze del data breach.

A questi fattori viene attribuito un valore (fra quelli indicati in apposita tabella) tenuto conto della stima specifica del caso. Il grado di rischio è determinato moltiplicando il dato relativo al contesto di trattamento a quello della facilità di identificazione dell’interessato sommato alla valutazione delle circostanze del data breach.

A determinate soglie scatta la notifica e/o la comunicazione agli interessati.

Indicazioni del Garante italiano

Nella sezione dedicata al data breach del proprio sito, il Garante ha ribadito che vanno notificate unicamente le violazioni che possano avere effetti avversi significativi sugli individui causando danni fisici, materiali o immateriali ad esempio furto d’identità, rischio di frode, perdita finanziaria, qualsiasi danno economico o finanziario o reputazionale.

Non si propongono metodi per individuare gli effetti avversi significativi sugli individui che determinerebbero la notifica e la comunicazione, ma vengono riprese e citate integralmente le Linee guida del WP29.

Indicazioni del Garante inglese

L’ICO ha pubblicato una guida per la violazione dei dati personali, richiamando il lavoro del WP29, corredata da una serie di esempi in merito alla necessità o meno di notificare e comunicare la violazione.

Per la valutazione della gravità della violazione ha recentemente messo a disposizione dei titolari uno strumento di self assessment[4].

Si tratta di un percorso guidato con tre domande:

  1. La violazione coinvolge i dati personali di persone fisiche viventi?
  2. Quanto è probabile che la violazione comporta per loro un rischio? Se la risposta è molto probabile o probabile c’è la terza ed ultima domanda
  3. In base alla propria valutazione, esiste un alto rischio per i diritti e le libertà delle persone?

Rispondendo a ciascun quesito, utilizzando la relativa guida predisposta dall’ ICO, che ancora richiama gli elementi già suggeriti dal WP29, si individua la necessità o meno di provvedere alla notificazione.

L’ICO inoltre ha attivato una helpline, a disposizione dei titolari, per fornire pareri e suggerimenti per i casi concreti sottoposti.

Indicazioni del Garante irlandese

Anche il DPC, nelle Guidelines on data breach notification[5], attribuisce importanza agli item indicati dal WP29: natura della violazione, causa della violazione, tipo di dati violati, elementi attenuanti il rischio presenti, e se i dati personali degli individui vulnerabili sono stati esposti, fornendo una guida per la valutazione che porta ad individuare quattro livelli di rischio: basso, medio, elevato e grave, così definiti:

  • basso rischio: è improbabile che la violazione abbia un impatto sulle persone o l’impatto sarebbe probabilmente minimo;
  • rischio medio: la violazione può avere un impatto sulle persone, ma è improbabile che l’impatto sia significativo;
  • rischio elevato: la violazione può avere un impatto notevole sugli individui interessati;
  • rischio grave: la violazione può avere un impatto grave, esteso o pericoloso sui soggetti interessati.

In presenza di un rischio elevato, occorrerà anche comunicare agli interessati.

Indicazioni del Garante spagnolo

L’autorità spagnola (AEDP) ha diffuso una propria guida in tema di data breach[6]. Per quanto riguarda le modalità relative alla valutazione, e la conseguente decisione di notifica, suggerisce una propria formula.

Propone l’utilizzo di tre parametri: ossia il volume dei dati violati, la tipologia dei dati e l’impatto della violazione (considerato quale grado di divulgazione dei dati violati). Per ciascuno di essi viene assegnato un valore numerico come riportato nella tabella che segue.

Il rischio sarà valutato applicando la formula:

Volume x (Tipologia x Impatto)

A fronte di determinati risultati occorrerà notificare e/o comunicare.

Quale percorso a garanzia del titolare

L’esperienza di questo primo anno di gestione dei data breach, considerati i tempi molto brevi entro i quali il titolare deve, con cognizione di causa, decidere se notificare e/o segnalare, con le note conseguenze in termini di possibili sanzioni in caso di mancata notifica o di possibili danni reputazionali in caso di notifica non dovuta, ci permette di suggerire ai titolari di integrare ex ante il processo di gestione di un eventuale violazione dei dati con una metodologia che consenta di calcolare il grado di rischio nei confronti degli interessati.

Come si è visto gli elementi indicati dalle diverse Autorità di controllo da tenere in considerazione per una tale metodologia sono abbastanza comuni. In particolare, vengono richiamati il numero delle persone fisiche interessate, il tipo di dati violati, la divulgazione dei dati.

Vi sono poi altri elementi che possono essere utilizzati, tenendo conto delle caratteristiche specifiche dei titolari (per una banca o un’azienda ospedaliera anche la violazione di un solo dato può determinare la necessità di rischio alto, mentre per altri titolari anche la violazione di un numero consistente di dati potrebbe essere considerata un rischio non elevato).

Una volta individuati i fattori più idonei, occorrerà attribuire agli stessi una griglia di valori di rischio che permetta automaticamente di ponderare il rischio stesso.

Il risultato della formula sarà di tipo meramente indicativo e servirà da documentazione probante per i casi più semplici che rientreranno senza dubbi nelle diverse ipotesi.

Per i casi più complicati, la valutazione del titolare non potrà essere affidata esclusivamente alle formule, in quanto la stima delle probabilità dovrà tenere conto delle particolarità e specificità di ogni caso concreto. Quindi nel documento di valutazione occorrerà mitigare il risultato oggettivo con le valutazioni soggettive del Titolare.

In conclusione, per una corretta gestione del data breach, il titolare deve preventivamente e adeguatamente adottare un’apposita procedura che preveda:

  • la figura di riferimento per i data breach che si occuperà di gestire e coordinare tutte le attività (a seconda dell’organizzazione aziendale il responsabile privacy o il responsabile legale o il responsabile organizzativo, ecc.) e resa nota a tutto il personale e ai responsabili esterni (indicandola chiaramente nei cosiddetti “data processing agreementex art. 28 del GDPR);
  • il coinvolgimento immediato, quando si è conoscenza della violazione, delle funzioni strategiche (ad esempio: IT, Risorse Umane e Audit), della funzione interessata dal data breach (ad esempio: Commerciale) e del DPO (laddove nominato);
  • un metodo di valutazione del rischio tarato sul business aziendale come sopra indicato;
  • la documentazione da sottoporre al titolare per la decisione finale;
  • il registro dei data breach, o una sezione specifica del registro dei trattamenti, nel quale annotare la violazione con la relativa documentazione di valutazione del rischio e gli eventuali adempimenti conseguenti.

NOTE

  1. Infografica del Garante. Inoltre il Garante, nella Relazione annuale 2018, ha precisato che “dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach – di cui 630 dal 25 maggio al 31 dicembre 2018, che hanno riguardato, come titolari del trattamento, soggetti pubblici (27% dei casi) e soggetti privati (73% dei casi)”.
  2. Cfr., ad esempio, le statistiche sulle notificazioni di data breach a livello europeo
  3. Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679 adottate il 3 ottobre 2017 ed emendate il 6 febbraio 2018.
  4. Il Self-assessment for data breaches
  5. Le Guidelines on Data Breach notification
  6. Guide on personal data breach management and notification
@RIPRODUZIONE RISERVATA

Articolo 1 di 5