Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

NORME PRIVACY

Personal data breach: spunti pratici e implicazioni operative per affrontarlo al meglio

La gestione di un personal data breach è, e sarà sempre di più in futuro, un tema che le organizzazioni devono saper gestire nel rispetto dei termini prescritti dalla normativa. Per capire come muoversi nel concreto, possiamo oggi rileggere passati orientamenti e basarci sui primi casi gestiti anche dal nostro Garante Privacy

31 Lug 2019
S
Luca Spongano

Privacy Specialist at Technology Advisory Team - VEM Sistemi


A fronte dei primi casi gestiti di violazioni dei dati personali (personal data breach) sotto la piena applicabilità del Regolamento (UE) 2016/679 (RGPD o GDPR), è possibile non solo rinvenire importanti risvolti pratici, ma anche esaminare con mente più preparata e consapevole quanto in passato emanato al riguardo dal Garante Privacy (ad esempio nel Provvedimento del 2013 riferito ai fornitori di servizi di comunicazione elettronica accessibili al pubblico) e dal Working Party Art.29 (WP29, ora sostituito dal Comitato Europeo per la Protezione dei dati, CEPD o EDPB) nel Parere del marzo 2014 prima ancora delle importanti e ben note Linee Guida emendate ed adottate nell’aprile 2018.

Le riflessioni che seguono vogliono, inoltre, soffermarsi sui primi provvedimenti emanati dal Garante Privacy nei confronti di titolari che abbiano subito e gestito violazioni di dati personali e, al contempo, fornire alcuni spunti pratici e di riflessione sulla base di esperienze dirette sul campo.

Riattualizzare i provvedimenti emanati dal Garante Privacy

In via generale si può affermare che i provvedimenti emanati dal nostro Garante rappresentino, se letti con mente attenta, una fonte di indicazione di azioni pratiche da cui trarre preziosi suggerimenti e un “faro” da seguire anche in ragione dell’ormai nota estensione generalizzata, a qualunque tipologia di azienda, degli obblighi degli artt. 33 e 34 del GDPR in materia di data breach.

Pare interessante soffermarsi, ai fini del tema in discussione, su quanto emanato nel Provvedimento del 2013 nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico. Al paragrafo 4.1. tra i requisiti da rispettare già veniva espressamente richiamata la necessità (per i citati soggetti) di svolgere attività di analisi dei rischi e di ottemperare agli obblighi di cui all´art. 32 del Codice Privacy (nella versione antecedente le modifiche apportate dal D.lgs. 101/18) al fine di determinare misure tecniche e organizzative adeguate al rischio esistente, a seguito anche di una preliminare ricognizione dell´insieme dei dati personali trattati e dei rischi ai quali gli stessi potevano andare incontro.

Al di là dell’insolita, e fortunata, coincidenza numerica tra l’art. 32 del Codice (ante novellatura apportata dal D.lgs. 101/18) e l’art. 32 Sicurezza del trattamento del GDPR, troviamo oggi un’interessante sovrapposizione anche a livello sostanziale laddove il citato articolo del GDPR prescrive ai titolari del trattamento di tenere conto dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone e di individuare di misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio.

Il Garante Privacy indicava in precedenza ai soli fornitori di servizi di comunicazione elettronica la necessità di identificare e attribuire valori di rischio ai differenti dati personali/trattamenti, mentre oggi tale disposizione deve essere applicata da parte di Titolari del trattamento di qualunque categoria merceologica.

È di primaria importanza, infatti, che le organizzazioni calcolino il livello di rischio esistente per ogni trattamento mappato nel registro delle attività di trattamento (redatto ai sensi dell’art. 30 del GDPR) e indichino tale livello all’interno del registro stesso.

L’individuazione del livello di rischioesercizio che oggi deve sempre prendere a parametro i diritti e le libertà degli interessati e non eventuali rischi di non conformità, sanzionatori o di reputation dell’azienda – è attività, come indicava il Garante nel 2013, grazie alla quale decidere non solo quali misure adottare per garantire un´idonea protezione dei dati trattati, ma anche se effettuare la comunicazione alle persone interessate in caso di violazione.

Tale preliminare ricognizione era già ai tempi ritenuta condizione necessaria al fine di predisporre misure di sicurezza volte sia a prevenire i possibili eventi avversi, sia a intervenire nel momento in cui gli stessi si sarebbero – nonostante le misure adottate – verificati ugualmente.

Oggi, utilizzando le fondamentali indicazioni del WP29/EDPB, va in ogni caso osservato che un’analisi del rischio svolta a seguito di una avvenuta violazione sui dati esamina il rischio in una prospettiva diversa rispetto ad un’analisi del rischio privacy svolta conformemente all’art. 32 del GDPR ed a quanto indicato al collegato Considerando 83.

Quest’ultima, infatti, dovrebbe concentrarsi:

  • in primaria parte sui rischi “intrinseci” al trattamento dei dati svolto così come pianificato guardando cioè alla sua natura, oggetto, contesto e finalità;
  • sulla valutazione circa la probabilità che si verifichi una violazione sulla base delle effettive misure di sicurezza implementate e delle relative vulnerabilità.

Nel caso di una violazione effettiva, l’evento si è già verificato, quindi l’attenzione del titolare e la sua analisi si dovrebbero invece concentrare primariamente sul rischio risultante dall’impatto di tale specifica violazione sulle persone fisiche.

Le aziende dovrebbero, oggi, già disporre di un’analisi iniziale del rischio potenziale che potrebbe derivare da una eventuale violazione (analisi svolta, come detto, per il rispetto dell’art. 32 del GDPR).

Tuttavia, tale analisi (come anche espressamente indicato dal WP29/EDPB nelle Linee Guida del 2018) essendo asettica/neutra rispetto alle circostanze specifiche e concrete di un’effettiva violazione, dovrebbe in ogni caso essere sempre seguita da una valutazione aggiuntiva che tenga conto delle precise circostanze occorse a valle della violazione stessa.

Piano di risposta alle violazioni e nella valutazione dei rischi: effetti secondari

Essendo trascorso più di un anno dalla piena applicabilità del GDPR, in caso di data breach deve risultare chiaro e definito all’interno delle organizzazioni quali funzioni aziendali vadano coinvolte e quali i passi da seguire, per evitare di lasciare il campo a pericolose improvvisazioni e non riuscire a rispettare le tempistiche imposte dalla normativa.

Anche in questo caso il Provvedimento del 2013 già tracciava questa direzione quando affermava che la gestione delle violazioni di dati personali, qualora verificatesi, non potesse essere affidata ad un´attività estemporanea.

È necessario, quindi, istituire piani preventivi di gestione della violazione, condivisi in maniera trasversale (cross) a livello aziendale (con coinvolgimento del Board, IT, CRM, Legal, Comunicazione, Data Protection Officer quando presente) per garantire reazioni rapide ed efficaci.

Si ricorda quindi l’importanza per i titolari di dotarsi di un procedura, condivisa con tutte le funzioni aziendali interessate, che definisca chiaramente “chi fa cosa” e possa quindi fungere da punto di riferimento ed agevolare un piano di risposta in tempo reale. La procedura (ed il relativo flusso operativo) di gestione meriterebbe una trattazione a parte, ci limitiamo a dire che questa dovrebbe, tra gli altri, occuparsi di definire chiaramente:

  • il team interno deputato alla ricezione delle segnalazioni di eventi/incidenti di sicurezza ed allo svolgimento di un’analisi preliminare per determinare se quanto occorso sia realmente configurabile come una violazione ai sensi dell’art. 4 (12) del GDPR;
  • il team che deve procedere, documentandola adeguatamente, ad una alla valutazione del rischio per i diritti e le libertà dei soggetti interessati. Un utile strumento per tale valutazione può essere individuato nella metodologia elaborata dall’ENISA, disponibile qui. Il team deve essere sufficientemente “skillato” e messo nelle condizioni di avere tutte le informazioni necessarie per stimare gli effetti pregiudizievoli e considerare eventuali fattori addizionali (ad esempio, le caratteristiche particolari del titolare del trattamento, la facilità di identificazione delle persone fisiche, se il data breach abbia coinvolto soggetti “vulnerabili” come minori o dipendenti e/o dati su larga scala ecc.);
  • in caso di violazioni nel contesto di trattamenti transfrontalieri (come definiti dal GDPR), quale sia l’Autorità di Controllo capofila a cui indirizzare le notifiche (come supporto nell’attività di identificazione dell’Autorità capofila, risulta utile utilizzare l’Annex 1 alle Linee-guida del 2017 elaborate dal WP29/CEPD);
  • la funzione organizzativa deputata alla notifica all’Autorità di Controllo ed all’integrazione/follow-up della stessa (seguendo l’approccio sancito dal WP29/EDPB, ben apprezzato dal Garante Privacy, della cosiddetta notifica per fasi, prassi già conosciuta in quanto esistente in forza degli obblighi di cui alla direttiva 2002/58/CE e del Regolamento 611/2013);
  • la funzione organizzativa deputata alla comunicazione della violazione agli interessati in caso di “rischio elevato” (in questo senso dovrebbero essere previamente individuati anche i criteri da utilizzare per identificare le modalità/canali di contatto più appropriati per veicolare la comunicazione);
  • la funzione deputata alla compilazione del registro delle violazioni al fine di documentare qualsiasi Violazione dei dati personali occorsa, le conseguenze e i provvedimenti adottati per rimediare, tenendo traccia di tutte le fasi in cui l’evento è stato gestito, dalla sua scoperta fino alla sua risoluzione/conclusione, rendendo disponibile il tutto all’Autorità di Controllo in caso di verifiche;
  • la funzione deputata all’analisi (post-mortem) degli incidenti per evidenziare vulnerabilità nelle difese e indicare soluzioni tecnologiche e/o di processo più idonee.

Con riferimento alla comunicazione dell’avvenuta violazione alle persone interessate nel caso di livello di rischioelevato”, è condizione necessaria prendere in considerazione tutte le possibili conseguenze e i potenziali effetti negativi che potrebbero occorrere ai soggetti coinvolti.

A tale fine si devono tenere in considerazione, fra gli altri, quelli che già nel 2014 il WP29 definiva come effetti “secondari” (secondary adverse effects).

Usiamo di seguito questo Provvedimento del 30 aprile 2019 del Garante Privacy per fare un esempio concreto.

L’acquisizione da parte di terzi di credenziali di autenticazione per l’accesso ad un servizio (nel caso di specie, la casella di posta elettronica), è da ritenere fonte di potenziale pregiudizio per la persona interessata in considerazione non solo del possibile accesso, di tali terzi, al servizio in questione, ma anche ad altri servizi on-line utilizzati dalla medesima persona (questo in ragione dell’elevata probabilità che le credenziali violate siano le medesime utilizzate dall’interessato per accedere ai propri diversi account).

In questo caso, quindi, la violazione comporterebbe come naturale effetto negativo secondario una violazione della riservatezza in relazione agli altri account utilizzati dall’utente. Pertanto, la comunicazione diretta agli interessati, oltre ad essere richiesta ai sensi dell’art. 34 del GDPR, dovrà contenere anche le informazioni relative ai possibili effetti negativi sugli altri account e, conseguentemente, la raccomandazione ai diretti interessati di utilizzare password differenti per ogni servizio e di rinnovare le password di tutti gli account per il cui accesso è stata utilizzata la (medesima) password compromessa.

Quindi, all’atto pratico, ai fini della decisione di effettuare o meno una comunicazione ai sensi dell’art. 34 del GDPR, il titolare deve adottare un approccio sistemico, ad ampio spettro (si potrebbe dire a 360 gradi) che tenga in dovuto conto tutti i possibili effetti negativi.

Questo, estremizzando, significa che devono essere considerati anche i potenziali rischi derivanti da un’eventuale scelta di non effettuare una comunicazione ai diretti interessati, atteso che anche una mancata comunicazione potrebbe divenire essa stessa fonte di effetti collaterali e danni verso gli interessati.

Questi ultimi, infatti, venendo privati della loro piena autodeterminazione informativa e della possibilità di essere messi nella condizione di conoscere e valutare i rischi cui potrebbero andare incontro, non sarebbero messi nelle condizioni di poter scongiurare eventi avversi tramite un proprio intervento attivo.

Partendo dalla fondamentale ed indispensabile premessa che ogni violazione presenta proprie specificità e che, quindi, non possono essere individuate a priori prassi e comportamenti perfettamente replicabili, si ritiene in ogni caso suggeribile all’interno delle notificazioni effettuate all’Autorità (ex art. 33 del GDPR) fornire anche indicazione delle informazioni che (si è certi) non siano stato oggetto di violazione.

Ad esempio, nel caso in cui una violazione non abbia compromesso la parte di informazioni riconducibili alle credenziali riservate di autenticazione (cioè la password), apparirebbe ragionevole darne positivo conto nel contenuto della notifica, nella parte dedicata alle probabili conseguenze da descriversi ai sensi dell’art. 33(3) lett.c del GDPR.

Questo aspetto si rivela utile anche al fine di supportare, sulla base di un preciso percorso logico svolto, l’eventuale valutazione adoperata dall’azienda di non ricadere nell’ipotesi di comunicazione ai sensi dell’art.34 del RGPD.

Non sottovalutare gli interessati di cui trattiamo i dati

Le fonti di segnalazione di eventi legati a una possibile violazione di dati personali possono essere le più svariate: il personale dipendente della propria organizzazione, soggetti terzi (quali media, giornalisti che abbiano a loro volta ricevuto notizia da altri soggetti, ad esempio ad opera di bug bounty platforms) o, ancora, l’Autorità di Controllo.

Tra queste, non si dimentichino anche le persone fisiche (ad esempio: clienti, prospect) che possono rivelarsi i primi soggetti “segnalatori” (verso il titolare) di un’eventuale violazione sui propri dati o su dati di altre persone fisiche.

È il caso, ad esempio, di utenti/clienti che segnalino al titolare di avere potuto consultare dati riferiti ad altri utenti/clienti accedendo ad aree riservate messe a disposizione degli stessi (per una chiara mancanza di adeguate misure tecniche ed organizzative).

È importante, quindi, non sottovalutare le segnalazioni e/o eventuali reclami che possano giungere alle funzioni aziendali adibite alla supervisione dei canali di contatto, quali: il servizio clienti, il servizio addetto alla supervisione dei quesisti inoltrati tramite contact forms disponibili sui siti del titolare o nelle relative pagine social (ad esempio: Facebook, Twitter ecc.) o i soggetti addetti alla ricezione delle richieste per l’esercizio dei dritti ex art.15-22 del GDPR.

Interventi di sensibilizzazione degli operatori aziendali a ciò adibiti, possono rivelarsi cruciali nella tempestiva gestione delle eventuali violazioni segnalate. È a tal fine basilare verificare la conoscenza di questi soggetti delle modalità di “escalation” interna e dei canali da utilizzare per segnalare un incidente al team preposto alle successive indagini.

Comprendere tempestivamente la potenziale portata del contenuto di una segnalazione può avere rilevanti benefici nell’iniziare altrettanto tempestivamente le indagini preliminari (per stabilire appieno la natura della possibile violazione, raccogliere prove e altri dettagli pertinenti e comprendere, con ragionevole certezza, se e in che misura i dati siano stati violati o meno).

Questa attività, nella maggior parte dei casi, dovrebbe essere completata subito dopo l’allerta iniziale e richiedere più tempo soltanto in casi eccezionali (il WP29/EDPB ci indica, in ogni caso, che durante il periodo di indagine l’azienda non può essere ancora considerata “a conoscenza” della violazione).

Misure tecniche e organizzative: l’importanza dei Vulnerability Assessment

Il WP29/EDPB (già nel Parere del 2014 e nelle Linee Guida del 2018) suggerisce l’implementazione, a titolo di miglior prassi, di talune misure di sicurezza di tipo tecnico ed organizzativo. In ogni caso, è guardando a casi concreti di cui agli ultimi provvedimenti del Garante Privacy che possiamo trarre ulteriori indicazioni pratiche in tal senso.

Allo scopo di contribuire ad assicurare un livello costantemente adeguato di protezione dei dati personali – e in piena applicabilità dell’individuazione delle misure a protezione dei dati sin dalla fase di progettazione dei sistemi informativi con cui si realizzano i trattamenti (cosiddetto approccio basato sulla “Data protection by design”) – è opportuno implementare, ciclicamente ed in occasione di evoluzioni o modifiche, misure specifiche per individuare e correggere eventuali vulnerabilità dell’intero impianto infrastrutturale e applicativo.

Di estrema importanza sono, come ricordato dal Garante Privacy nel Provvedimento del 21 Dicembre 2017 ed in quello del 4 aprile 2019, le attività di Vulnerability Assessment (VA) che vengono quindi riproposte in piena sovrapposizione alle best practice in ambito information security (si veda, ad esempio, il control n. 12.6.1 per la gestione delle vulnerabilità tecniche dell’Annex A dello standard ISO/IEC 27001 e il punto di controllo 12.6.1 dello standard ISO/IEC 27002).

Si ricorda, infine, l’opportunità di richiedere la previsione di VA anche ai propri fornitori, in particolare a quelli di sviluppo software, all’interno dell’accordo (o specifico allegato) sottoscritto ai sensi dell’art.28 del GDPR, chiedendone una loro estensione ed applicazione anche a tutti i soggetti coinvolti nella “catena di fornitura” (cioè gli eventuali sub-responsabili del trattamento).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5