Cosa devo fare in caso di data breach?

08 marzo 2018Ultimo aggiornamento 17 ottobre 2019
Tempo di lettura stimato: 10'

Diciamo subito una cosa importante: qualsiasi azienda italiana, estera o marziana che ha delle informazioni su dei sistemi digitali avrà almeno una violazione dei dati personali all'anno. Vale a dire che ogni anno avrà almeno un Data Breach. Almeno uno è il caso dell’azienda che all'anno fa due fatture e una telefonata, perché l’azienda che ha un’attività normale avrà molteplici violazioni, di vario tipo e di varia gravità, ma le avrà.

data breach come affrontarlo - privaclab


Le violazioni vanno gestite seguendo le indicazioni del Regolamento Europeo 16/679 (GDPR) che ci dice come dobbiamo comportarci se si verifica un Data Breach, però prima bisogna sapere cos’è un Data Breach.

È da qui che dobbiamo partire, perché magari c’è stato un incidente, è capitato qualcosa, ma non è detto che sia una violazione dei dati personali.


INDICE

1. C’è stato un incidente: è una violazione?

2. Come si gestisce una violazione dei dati personali?

 2.1 Il Data Breach va sempre registrato e se è il caso va notificato al Garante (articolo 33)

 2.2 Essere accountability: cosa significa

3. Quali violazioni comunicare al Garante?

 3.1 Il Data Breach ha un rischio alto: va notificato al Garante

4. Come sapere che c’è stata una violazione? Grazie ad un workflow intelligente e alla formazione

5. Quando comunicare la violazione dei dati personali agli interessati (articolo 34)

 5.1 Come gestire la comunicazione agli interessati?

6. Per concludere: il processo di gestione del Data Breach in 4 punti



C’è stato un incidente: è una violazione?

Le violazioni dei dati personali sono 6x2 – che non fa 12! – o sono accidentali oppure volontarie e sono di 6 tipi:

1. Accesso non autorizzato
Qualcuno non poteva vedere certe informazioni, ma le ha viste.
Esempio: spedisco per sbaglio la mail con la busta paga di Antonio a Giulia. È stato accidentale, non volevo farlo, ma è una violazione

2. Copia non autorizzata

Qualcuno ha preso dei dati che non poteva prendere e li ha copiati da un’altra parte.
Esempio: nel regolamento aziendale e nelle istruzioni agli addetti c'è scritto che non si devono copiare i dati e che bisogna usare il sistema repository in Cloud o quello aziendale - ogni azienda ha le sue modalità -, ma Antonio ha preso i dati e li ha copiati su una chiavetta USB. È una violazione.

3. Divulgazione non prevista
Qualcuno diffonde accidentalmente dei dati.
Esempio: Giulia pubblica sulla pagina Facebook dell’azienda le foto della cena aziendale di fine anno dove c'era Antonio visibilmente ubriaco, col cappellino da Babbo Natale, che inseguiva la segretaria. Non voleva fare un danno ad Antonio, non ha neanche visto che era ubriaco mentre scattava la foto, però è successo. Ha diffuso accidentalmente la foto di Antonio e questa è una violazione.

4. Modifica non autorizzata
Qualcuno ha modificato dei dati che non poteva modificare.
Esempio: anche se in azienda hanno detto che non si possono modificare i file di Excel condivisi in rete, io accedo, perché nessuno li ha bloccati, e cambio delle informazioni che secondo me non erano giuste. È una violazione.

5. Perdita d’accesso

Qualcuno perde delle informazioni, che non sono più disponibili.
Esempio: l'ufficio paghe ha zippato i CUD dei miei dipendenti, me li ha mandati con un sistema super sicuro e me li ha fatti scaricare. Io scarico i CUD sul mio disco e li zippo proteggendoli con una password, così nessuno può vederli, ma mi dimentico la password. Quindi ho i dati sul computer, ma non posso vederli. Succede. È normale. Ma è una violazione.

6. Cancellazione dei dati
Qualcuno cancella il file che conteneva delle informazioni che erano solo lì.
Esempio: ho una chiavetta USB con un file Excel dove archivio i dati dei miei clienti persone fisiche – nomi, cognomi, prodotti acquistati… - ma cancello per sbaglio il file e quindi anche i dati. È una violazione.


Questi 6 incidenti, se vengono commessi volontariamente, cambiano nel concetto e nel nome:
  1. l’accesso non autorizzato diventa spionaggio;
  2. la copia non autorizzata si chiama furto;
  3. la divulgazione non prevista si chiama diffusione;
  4. la modifica non autorizzata diventa una compromissione, per esempio: un hacker entra nell’area riservata del portale web dell'azienda, dove ogni cliente ha nome, cognome e link al sito aziendale, e cambia tutti i link sostituendoli con www.youporn.com così, chi clicca, finisce su YouPorn;
  5. la perdita d’accesso diventa una cifratura, per esempio: infetto volontariamente con il CryptoLocker il computer che contiene tutti i dati personali dei dipendenti;
  6. la cancellazione diventa distruzione volontaria.

Se si verifica una di queste cose, c’è stata una violazione e va gestita.

Come si gestisce una violazione dei dati personali?

Partiamo dall'inizio. Partiamo dagli articoli 33 e 34 del GDPR. Sono i due articoli del Regolamento europeo che cercano di indicarci come ci si deve comportare se si verifica una violazione dei dati personali:

  • l’articolo 33 riguarda la gestione interna dell’azienda e la gestione dei rapporti con il Garante;

  • l’articolo 34 riguarda la gestione con gli interessati, cioè con le persone di cui abbiamo i dati personali.

Il Data Breach va sempre registrato e se è il caso va notificato al Garante (articolo 33)

L’articolo 33 del GDPR, al punto 1, ci dice che, in caso di violazione dei dati personali, il titolare del trattamento notifica il Data Breach all’autorità di controllo competente entro 72 ore dal momento in cui ne viene a conoscenza, senza ritardo, qualora la violazione presenti un rischio per i diritti e la libertà delle persone fisiche.

Al punto 2 ci dice che i responsabili del trattamento – lo studio paghe, il commercialista, chi gestisce il software… -, in caso di violazione, non notificano al Garante, ma al titolare del trattamento.

Al punto 3 dice che, se decidi di notificare, il Garante ha bisogno di determinate informazioni: natura della violazione, l’ammontare approssimativo del numero di persone interessate, dati di contatto del responsabile della protezione dei dati, possibili conseguenze della violazione, misure adottate.

Al punto 4 dice che se non è possibile dare tutte le informazioni importanti subito, si possono fornire in fasi successive.

Al punto 5 dice che comunque bisogna documentare qualsiasi violazione, sia di tipo 1 (violazione che non presenta un rischio per i diritti e le libertà delle persone) che di tipo 2 (violazione che presenta un rischio per i diritti e le libertà delle persone): in sostanza che bisogna essere accountability.


Essere accountability: cosa significa

Accountability significa responsabilità, ma è un concetto anglosassone, quindi non è la responsabilità come la intendiamo noi in Italia. È un concetto che comprende: essere responsabili, competenti e consapevoli.
E come faccio a testimoniare di essere accountability? Fornendo delle prove.
Il titolare del trattamento deve essere in grado di produrre una serie di evidenze, tese a dimostrare che è competente, che è stato responsabile e che riesce a tenere in mano le redini del processo. Non è un pilota in balìa delle onde, che guida un motoscafo troppo potente e non lo sa gestire. Ha la patente nautica, ha la capacità e il know-how per affrontare il tipo di mare in cui sta navigando e lo dimostra col suo GPS, con i suoi strumenti, perché ha partecipato a 50 regate... Dimostra la sua capacità, fornendo prove, documentali o meno.

accountability - privacy lab

Per essere accountability, il titolare del trattamento deve documentare qualsiasi violazione nel registro, comprese le circostanze relative, le sue conseguenze, i provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante di verificare il rispetto del protocollo.

Perdi la chiavetta USB? Lo documenti.
L'antispam diffonde i dati dei tuoi clienti in rete? Lo documenti.
Hai preso il CryptoLocker? Lo documenti.

Guardi come è successo e cerchi di evitare che succeda di nuovo.
Perché il problema non è dichiarare la violazione. Se la dichiari non prendi la multa, la prendi per altri motivi!

Se l’azienda non è accountability, lì sì che arriva la sanzione.


Quali violazioni comunicare al Garante?

Mica tutte. Vanno comunicate solo le violazioni di tipo 2: quelle che presentano un rischio per i diritti e le libertà delle persone. Ma come si definiscono? Come si calcolano? Chi lo decide che quella violazione ha un rischio alto? In Italia siamo nell’ambito del diritto romano. Siamo abituati ad avere il bastone: se fai così sei a posto. Con il Regolamento è tutto alla rovescia: è il titolare del trattamento che decide se notificare o no, poi il Garante verificherà, in una logica di accountability, se ha dato le evidenze corrette.

Per questo esistono delle metodologie.

L’ENISA (The European Union Agency for Cybersecurity) ha creato una metodologia per calcolare il rischio sulla libertà delle persone a fronte di una violazione. Questa metodologia si può applicare anche in azienda - noi l'abbiamo integrata nel software di PrivacyLab per rendere rapida, efficiente e veloce la gestione del Data Breach – e l’uso di questa metodologia aiuta a testimoniare il processo di accountability.

Quindi, se di fronte ad una violazione, il Garante chiede al titolare del trattamento: “Come hai fatto a decidere di non comunicare questa violazione?”
Il titolare può rispondere: “Ho documentato la violazione nel mio registro, ho preso le contromisure e ho verificato. Non ho notificato la violazione perché ho utilizzato un protocollo condiviso anche a livello europeo, da cui è emerso che il rischio per la libertà delle persone era basso. Non lo dico io. Lo dice uno strumento certificato.”

Perché non basta dire “Ho visto che era un rischio basso per i diritti delle persone e ho deciso che non dovevo comunicarlo.” Come lo provi? Si fa fatica a rendere testimoniabile questa cosa.

Non bisogna cadere nella tentazione di diresecondo me questa misura è adeguata" perché non lo sai tu - titolare - non lo sa il Garante, non lo so io... non lo sa nessuno. La legge dice "Dammi evidenza di aver fatto il possibile" e solo applicando la procedura di gestione del Data Breach, in ottica di accountability, riesci a testimoniare il fatto di essere conforme al Regolamento.


Il Data Breach ha un rischio alto: va notificato al Garante

Se risulta che la violazione presenta un rischio alto, va notificata al Garante entro 72 ore e senza ulteriori ritardi. Va compilato un documento che descrive cosa è successo, quali sono state le conseguenze, quali misure sono state adottate e quelle che verranno adottate. La notifica viene poi spedita via PEC al Garante.

Punto.

Questa è la procedura per la notifica del Data Beach, ma il problema è quello che succede prima: l’azienda come fa a sapere che c’è stata una violazione?

Come sapere che c’è stata una violazione? Grazie ad un workflow intelligente e alla formazione

Come faccio a sapere di aver perso una chiavetta USB con i dati personali dei clienti? Come faccio a sapere che qualcuno ha preso le informazioni degli utenti dal sito internet della mia azienda? Perché arriva una segnalazione, e visto che un’azienda normale di segnalazioni ne avrà diverse durante l'anno, senza un workflow intelligente, un metodo agile per gestire e raccogliere le segnalazioni, si va ad imbarcare in un processo di gestione fine a sé stesso: riceve la mail, la mette nel CRM, la spedisce al responsabile del CED, aspetta la PEC… Ha bisogno di un sistema forte, semplice e veloce, perché ogni volta che si perde una chiavetta USB non serva un ingegnere termonucleare che impiega 4 ore a fare calcoli per stimare il rischio.
Diventa un problema organizzativo. Diventa un costo.

E serve la formazione.

Se non spiego cos'è una violazione agli addetti, anche se lascio il modulo per segnalare il Data Breach, l'addetto non metterà mai dentro niente, perché ha paura, perché se perde i dati magari rischia pure una nota di demerito. Io devo formare gli addetti e i responsabili esterni, devono sapere che cos'è una violazione, e segnalarla. La formazione è semplice. Ci vogliono 20 minuti.

Quando comunicare la violazione dei dati personali agli interessati (articolo 34)

Articolo 34 del Regolamento europeo: quando la violazione dei dati personali presenta dei rischi per i diritti e le libertà delle persone, va comunicata anche agli interessati. E questa cosa fa paura. Perché se dico ad un dipendente che tutti i suoi colleghi hanno visto la sua busta paga, è quasi certo che mi farà la rogna. Se dico ai miei clienti che i loro dati sono andati in giro per il web per colpa dell’antispam che uso, magari la consulenza la chiedono a qualcun altro.

Il danno reputazionale mi spaventa molto di più della sanzione.

In PrivacyLab abbiamo avuto alcuni esempi di questo tipo. Casi di grandi aziende di consulenza sulla sicurezza che, piuttosto che comunicare agli interessati che c'era stato un disastro con i dati in loro possesso, facevano tagliare la prima falange del dito dell'amministratore delegato!

Il danno alla reputazione potrebbe essere maggiore della possibile multa.


Come gestire la comunicazione agli interessati?

L’articolo 34 ci dice che il titolare del trattamento può non comunicare la violazione all'interessato quando:

1. Ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure vengono applicate ai dati personali. Se il titolare riesce a testimoniare questa cosa, registra la violazione, la comunica al Garante e può non comunicare nulla all'interessato. Ma deve dare evidenza di essere accountability.

2. Oppure, successivamente, ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e libertà. Qui è un po' più complicato, perché quando i buoi sono scappati sono scappati.

3. Detta comunicazione si può non fare, se richiede uno sforzo sproporzionato. Ma se richiede uno sforzo sproporzionato, va dichiarata pubblicamente. Quindi il Garante dirà “Mettiti su internet e fatti un bel video in cui dici a tutti "Signori, sono stato un coglionazzo." Così dai evidenza pubblica del fatto che hai sbagliato. Magari cerchiamo di evitare questa cosa… Ma come? Facendo attività preventiva.

Evito il danno alla reputazione se riesco a rendere testimoniabile, a fronte di un privacy-by-design che mi abbia dato un rischio residuale basso sul trattamento oggetto della violazione, della DPIA e di rischi residuali bassi e certificati, che ho fatto tutto il possibile.

Perché le violazioni succedono, a prescindere da quanto sono stato bravo.

Per concludere: il processo di gestione del Data Breach in 4 punti

La procedura di gestione del Data Breach tocca 4 punti:

1 - Formazione
Formo addetti e responsabili esterni.

2 - Registrazione
Documento tutte le violazioni.

3 - Valutazione
Valuto il tipo di violazione (tipo 1 o tipo 2) e quindi capisco se devo anche notificare alle autorità e agli interessati.

4 - Registro
Documento tutto quello che è successo, cosa ho fatto e cosa farò.

Ti è stata segnalata una violazione.

Chiediti: è davvero una violazione?
Risposta: no. Allora non bisogna fare nulla.
Risposta: sì. Devi approfondire.

Chiediti: è una violazione che lede i diritti e le libertà delle persone fisiche?
Risposta: no. Allora documenta l’incidente nel registro dei trattamenti come violazione di tipo 1.
Risposta: sì. Allora la violazione va notificata alle autorità e registrata come violazione di tipo 2.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy