Come avviene la gestione di data breach? Lo chiediamo al DPO Valentina Apruzzi, che ci accompagnerà in più puntate per affrontare i temi caldi che oggi devono interessare qualunque azienda e ruotano intorno ai ruoli e ai rischi che si definiscono nel contratto del cloud e nel business digitale
Gestione data breach: se un’azienda ne viene colpita, iniziano le preoccupazioni. Quando la sicurezza dei dati viene violata – che sia per errore umano o per azioni illecite mirate a danneggiarla – non solo è necessario adoperarsi per recuperare e salvare il salvabile. Bisogna infatti anche comunicare correttamente l’accaduto, come vuole il GDPR.
La gestione di episodi di data breach nella piena aderenza alle normative è molto importante. Tanto più importante se si considera che quest’anno ha visto un incremento di data breach considerevole, con attacchi di phishing aumentati dell’11% e quelli di tipo ransomware del 6% (Report Verizon). Numeri sicuramente anche correlati all’adozione dello smartworking in molte aziende italiane. Chi si occupa della gestione di data breach e come interviene? Lo abbiamo chiesto all’Avvocato Valentina Apruzzi, DPO (Responsabile per la Protezione dei Dati) ed esperta di diritto e privacy in ambito IT.
Il DPO: come avviene la gestione di data breach da parte di questi professionisti
Avvocato, vogliamo capire con Lei quali adempimenti adottare e quali valutazioni compiere in caso di data breach. Come dobbiamo orientarci?
Valentina Apruzzi: Buongiorno Chiara. Come DPO mi trovo, ahimè, sempre più spesso a dover affrontare la gestione di un data breach e, nonostante le procedure interne e le norme, ogni volta è un’esperienza differente e formativa.
Prima di entrare nel merito delle procedure di notifica e documentazione dell’incidente, permettimi una breve introduzione, perché negli anni mi sono accorta che non è chiaro a tutti cosa debba essere identificato come “data breach”.
Il GDPR (art. 4 c. 12) lo definisce come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“; se ne desume quindi che per il legislatore una violazione di dati personali è un incidente di sicurezza, può non essere vero il contrario però…
Una violazione dei dati personali incide su uno o più aspetti della triade “RID”, e cioè sulla riservatezza, sull’integrità o sulla disponibilità dei dati personali e può provocare danni fisici, materiali o immateriali ai soggetti interessati.
Per citare qualche esempio tratto dalla cronaca dei nostri giorni, attacchi ransomware che criptano il contenuto di un server a scopo di riscatto; attacchi phishing capaci di esfiltrare dati o credenziali; perdita di dispositivi mobili o di banche dati; perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altri fattori naturali. Inoltre, l’incidente potrebbe riguardare banche dati o servizi affidati a provider esterni, in qualità di Responsabili ex art 28 GDPR. Gli interessati in questi casi possono perdere il controllo sui propri dati, possono subire illeciti e perdite finanziarie se non danni più gravi.
Quindi cosa significa per un titolare la gestione del data breach?
Valentina Apruzzi: Come noto, l’art. 33 del GDPR impone l’obbligo per il titolare di notificare la violazione all’autorità di controllo ove ritenga che l’incidente possa costituire un rischio per i diritti e le libertà delle persone fisiche e, laddove tale rischio venga valutato come elevato, di comunicare la violazione agli interessati i cui dati personali sono stati oggetto della violazione (art. 34). Il nostro Garante ha messo a disposizione un modulo per la notifica e le procedure interne dovrebbero guidare il titolare a compiere i passi giusti nella gestione del data breach. La mancata notifica o comunicazione di un data breach è sanzionabile, allo stesso modo però la notifica può svelare una non conformità alla normativa che può essere soppesata e indagata dalle autorità di controllo.
Se un titolare dovesse valutare il rischio come improbabile o trascurabile e poi il rischio si concretizza, l’Autorità di controllo può comminare sanzioni amministrative pecuniarie. Normalmente il fattore tempo è un elemento di grande stress nelle ore post incidente: non è infatti sempre agevole ricevere informazioni tempestive ed esaustive sull’evento. A volte le segnalazioni sono lente, le relazioni tecniche non precise, spesso viene sottovalutato l’incidente, o taciuto il più possibile dai fornitori per evitare un danno reputazionale o peggio di esporsi al risarcimento del danno. Ecco quindi che rivolgere le domande giuste e raccogliere e documentare le risposte per ricostruire gli accadimenti, le misure aggirate e quelle efficaci, anche nell’ottica del principio di accountability, diventa fondamentale. Così come riveste una grandissima importanza la scelta del consulente che sappia indagare senza alterare il quadro, mitigare le conseguenze dell’incidente e fornire il supporto successivo alla gestione del data breach.
Il Garante invita a notificare anche se il titolare non è in possesso di tutte le informazioni o se le indagini sono ancora in corso ma emerge una violazione potendo eventualmente integrare la notifica in un momento successivo. Attenzione però: se è vero che le cause di un incidente sono molteplici, non tutti gli incidenti costituiscono un data breach.
Ma allora quando notificare e quando no?
Valentina Apruzzi: In un sistema di sicurezza ben costruito, un incidente può anche essere contenuto e non comportare una violazione. Faccio un esempio che tocca da vicino il vostro settore. È sempre più diffusa, fortunatamente, la scelta di affidare la conservazione di database e applicativi in sistemi cloud based. Si reputa infatti che un sistema cloud, in virtù dei grandi investimenti alle spalle, dell’applicazione della tecnologia migliore, delle stringenti procedure e misure di sicurezza, della presenza di personale specializzato, costituisca un luogo più sicuro (e spesso più economico) del server privato.
È anche vero però che un accesso non autorizzato alle credenziali, anche in ambiente informatico ritenuto sicuro, può esporre i dati a terzi non autorizzati, violando la riservatezza degli interessati, sia che i dati siano sul server privato che nel cloud.
Cosa incide o condiziona e valutazioni da compiere rispetto alla gestione del data breach?
Valentina Apruzzi: Ti porto un esempio. Un evento avverso che incida sulla disponibilità dei dati, per esempio l’interruzione della fruizione di un sito web determinato da un incidente del servizio di hosting, può comportare una grave perdita di disponibilità… oppure può essere considerato ininfluente e trascurabile. Come distinguere i due casi? La perdita di disponibilità, ove sia temporanea e comporti solo conseguenze lievi agli interessati, può essere considerata trascurabile e non comporta obbligo di notifica. La valutazione del titolare ovviamente deve tenere in considerazione le categorie di dati, il volume e le conseguenze dell’indisponibilità, ma anche il tempo di ripristino. In questo caso un piano di incident response, calato sulla realtà dei trattamenti svolti e sulle misure di sicurezza presenti, si rivela fondamentale: back-up per il ripristino e procedure da eseguire per ridurre le tempistiche e non incorrere in perdite e violazioni.
D’altro canto, un attacco ransomware potrebbe non comportare violazioni se il titolare si è dotato di idonee misure di sicurezza: back-up separato, un sistema di rilevamento antimalware, corretta gestione delle patch, sistemi di crittografia.
Per orientare e sostenere il titolare nelle proprie valutazioni, già nel dicembre del 2013 l’Agenzia Europea per la sicurezza delle reti e delle informazioni aveva pubblicato delle raccomandazioni sul metodo di valutazione degli incidenti (Recommendations for a methodology of the assessment of severity of personal data breaches), nell’ottobre 2017 il Working Party 29 (WP29) ha elaborato delle linee guida sulla notifica delle violazioni dei dati personali (Linee guida WP250 sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679) e, in ultimo, l’EDPB ha tenuto in consultazione nuove linee guida del 14 gennaio 2021 con un approccio molto pratico e basate su casi concreti in settori vari (strategici o meno).
Nella sua esperienza ci sono settori immuni dalle violazioni?
Valentina Apruzzi: No, non ci sono settori immuni e non ci sono sistemi perfetti di cybersecurity, ma ogni sforzo per arginare le falle nella protezione dei dati deve essere preso in considerazione e condurre ad una gestione virtuosa dei dati personali, perché le violazioni, oltre a comportare danni anche di enorme portata a chi li subisce, violano ogni volta di più i diritti fondamentali di noi tutti. I dati raccolti a causa di violazioni popolano il dark web e foraggiano malintenzionati in tutto il mondo. Non è un fenomeno da sottovalutare e non è passeggero, anzi cresce e muta insieme alle nostre esigenze e allo stato della tecnologia.
Un grazie a Valentina Apruzzi per il prezioso contributo. Con lei affronteremo anche altri temi caldi tra privacy e cloud sempre sul nostro blog. Non perdeteveli!
