l'approccio corretto

Data breach e Gdpr, che fare per rispettare le norme

Il termine delle 72 ore massime previste dal Gdpr per comunicare un avvenuto data breach non è impossibile da rispettare a patto che si adotti il giusto approccio e che si investa, oltre che in tecnologie, anche nel fattore umano e nella formazione specifica. Vediamo gli step necessari e le priorità d’intervento

17 Ott 2018
Leonardo Scalera

Data Protection Officer Penitenziaria Bari-ministero di Giustizia

data-breach sogin

Chi dovrà preoccuparsi della corretta applicazione e dell’integrale rispetto di quanto previsto dal GDPR in materia di data breach? E’ una delle questioni sottovalutate e che occorre ora approfondire, per provare a dare una risposta.

Per doverosa chiarezza riportiamo quanto recita il Regolamento (UE) 2016/679 in materia di protezione dati personali, agli Artt. 32 (“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” ) – 33( “notifica di una violazione dei dati personali […]).

Proprio in virtù di quanto chiaramente indicato nel Reg. (UE)2016/679 (GDPR) la domanda c) assume dei contorni degni di un libro giallo; infatti, se, tutto sommato, la norma risulta essere abbastanza chiara, è allo stesso tempo vero che non viene indicata nessuna “parola magica” o ricetta di “pozione miracolosa” per far si che tutti i soggetti sottoposti alla valenza del GDPR siano in grado di fare quello che viene richiesto.

Proprio a questo punto vanno necessariamente tirati in gioco nuovamente gli italici ingredienti che hanno fatto si che ad oggi quasi nessun ente, Pa, pmi ecc fosse abbastanza “forte” da poter affrontare l’avvento di quanto previsto in questa parte di GDPR.

Molti continuano a cercare soluzioni preconfezionate o di facile attuazione (oltre che a costo zero sia in termini economici che in termini di tempo e di “persone”), anche se ritengo che dopo lungo peregrinare dovranno rassegnarsi, altri attendono e “riflettono”.

Rivalutazione dei processi aziendali

Dare una risposta alla domanda, o quantomeno cercare di formularne una quantomeno da “18” accademico, passa senza dubbio da una seria fase di cambiamento, di rivalutazione dei processi aziendali fino ad oggi utilizzati, anche se perfettamente funzionanti e consolidati.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Questo è senza dubbio uno step fondamentale in quanto, non sarebbe concepibile riuscire a gestire, ma neanche semplicemente individuare un data breach, senza aver creato a monte delle procedure di “gestione della vita del/dei dato/i” e aver messo in conto, nello stesso tempo, un serio piano di “investimenti” (sia dal punto di vista economico/finanziario che dal punto di vista del fattore umano) indirizzati proprio a colmare i gap esistenti in molte realtà (non solo PMI e PA!).

Il Gdpr fa da traino agli investimenti in sicurezza

Vero è, però, che in questi ultimi mesi le cose si sono mosse e anche verso giusto. A riprova di questi positivi movimenti ci sono le stime di diverse indagini che vedono un incremento degli investimenti rispetto al periodo precedente proprio grazie al “traino” del GDPR. Ad esempio la percentuale delle aziende che ha messo in campo progetti strutturati di adeguamento al GDPR ha oltrepassato il 51% rispetto al 9% rilevato circa un anno fa; le aziende che hanno stabilito un budget ad hoc per gli adeguamenti al GDPR sono passate dal 15% a circa il 60%, le aziende che affermano che incrementeranno in organico i ruoli preposti alla gestione della privacy hanno raggiunto il 49%, mentre la percentuale delle aziende che afferma di avere già in organico o di collaborare con un DPO allo scopo di facilitare il rispetto del GDPR si avvicina al 30%.

Una buona fetta di risorse sono state destinate a quella serie di attività propedeutiche sia al raggiungimento della conformità al regolamento che proprio alla “vigilanza” e protezione sui dati in ottica data breach. Infatti troviamo percentuali intorno al 10% dedicate agli investimenti in Security testing, al 20% troviamo la business continuity & disaster recovery e al 15% troviamo il ricorso a piattaforme di incident response e sistemi di Identity e access management.

Un cambio di marcia “intellettuale”

Altro aspetto fondamentale da tenere in considerazione, senza del quale ci si troverebbe di fronte ad investimenti “fini a se stessi” è proprio legato a quel cambio di marcia “intellettuale” ossia legato al tipo di approccio e strategia da mettere in campo prima che un data breach, o simile, investa la realtà all’interno della quale si opera.

Già in molte occasioni è stato ribadito come un azzeramento dei rischi sia da considerarsi utopistico, ma tendere alla minimizzazione di essi con una corretta analisi e corrette strategie, al contrario, è possibile.

Per far questo potremmo immaginare una “ricetta” con varie fasi: quella di analisi dello stato dell’arte, quella della verifica costante e della rilevazione, fino, se del caso, alla comunicazione e alla registrazione dell’evento (anche solo tentato a volte).

Fase fondamentale, quindi, è proprio il prima, dove per prima intendiamo tutte le fasi di analisi che ci consentono di capire e valutare quantità di dati personali gestiti, tipologia di trattamenti, soluzioni o procedure già esistenti e loro verifica. Questi macro passi consentiranno di “stimare” il livello di rischio con il quale l’azienda (o l’ente) è esposto al pericolo di un data breach.

NB: è bene chiarire che in questa fase, più che mai, il motto “l’unione fa la forza” trova una collocazione perfetta. Nel processo di stima del rischio vanno sicuramente coinvolti il maggior numero di attori possibili in relazione alle attribuzioni, settori e competenze (Marketing, IT, Finance, Privacy, legal, HR ecc) proprio per poter sfruttare le visioni, le conoscenze e le esperienze reali in ognuno di questi campi.

Nella seconda fase, una volta stabilita l’esposizione, è necessario costruire un processo per valutare un eventuale data breach. Per fare questo bisognerà partire senza dubbio focalizzandosi su quanto indicato nelle linee guida del WP29 in materia di data breach partendo dalle 3 macro categorie in esse definite:

  1. Confidentiality breach in caso di accesso accidentale o abusivo a dati personali;
  2. Availibility breach in caso di perdita o distruzione sia accidentale che non autorizzata di dati personali;
  3. Integrity breach in presenza di alterazioni accidentali o non autorizzate di dati personali.

Sulla base della definizione delle macro aree, quindi, il processo dovrà permettere di valutare il rischio effettivo cui i dati sono esposti e di conseguenza l’impatto nel caso si verificasse uno degli eventi descritti.

Le priorità di intervento

Valutazione da effettuarsi anche sulla base delle misure di sicurezza adottate sui sistemi, alla tipologia di dati e il livello di identificabilità degli interessati. Solo al termine di queste fasi si potranno definire le priorità di intervento che dovranno sicuramente tendere a:

  1. identificare e definire una scala di valori di criticità;
  2. identificare le vulnerabilità;
  3. valutare il rischio e l’impatto in caso di data breach;
  4. stabilire la soglia massima/minima di accettazione del rischio;
  5. definire le contromisure (importante in questo caso rammentare quanto previsto all’art 34 comma 3 lett. b) in merito alla possibilità di non comunicare l’accaduto agli interessati nel caso i cui siano state adottate tutte le misure atte a scongiurare il sopravvenire di rischio elevato per i diritti e le libertà degli interessati).

Chiaro che per far si che quando detto possa trovare applicazione vanno senza dubbio attuati piani di formazione, aggiornamento di tutti quei soggetti coinvolti al fine di accrescere il livello di consapevolezza.

Una chiara definizione dei ruoli

Altro passo fondamentale proprio nel processo di verifica/identificazione/rilevazione/comunicazione sta nella chiara definizione dei ruoli all’interno del ciclo di vita dei dati. Risulta, infatti, quanto mai fondamentale stabilire chiaramente ruoli e responsabilità dei processor cui si affida il titolare del trattamento proprio per stabilire corrette strategie collaborative in assenza delle quali tutto il percorso costruito per reagire ad un eventuale data breach risulterebbe inattuabile.

Proprio la consapevolezza creata, anche, da una chiara definizione di ruoli e responsabilità, nonché una comunicazione veloce ed efficace può portare a far si che il termine delle 72 ore massime previste per la comunicazione di un avvenuto data breach, decorrenti dal momento della rilevazione, possa essere considerato un termine sufficiente e non impossibile da rispettare.

Investire nel fattore umano

Se la definizione delle procedure sarà stata fatta nel modo migliore, i soggetti preposti, a rilevazione della violazione avvenuta, potranno essere in grado di comunicare tempestivamente al titolare del trattamento o al DPO l’accaduto avviando, in questo modo, le successive fasi atte all’effettuazione delle valutazioni necessarie sulla base di quanto previsto negli artt. 33 e 34 in merito alla comunicazione della violazione all’autorità di controllo e eventualmente agli interessati.

Oltre, quindi, a corretti e necessari investimenti “strutturali” risulta quindi chiaro e imprescindibile l’investimento nel fattore umano e nella formazione specifica. Alcuni settori stanno già attuando queste politiche, infatti per alcune figure di alta specializzazione (security administrator, security analyst ecc.) le percentuali di richieste sono in aumento.

L’indice di esposizione di pmi e pa

Come sempre, però, non è possibile fare un ragionamento unico. Infatti se quanto detto può essere considerato (seppur con variazioni e modifiche ad hoc) per varie tipologie di soggetti (aziende, pmi e PA), è allo stesso tempo tristemente vero che nelle pmi di dimensioni medio piccole le soluzioni utili alla realizzazione delle prime fasi del processo di individuazione/valutazione di un data breach sono sostanzialmente basilari e standard (antivirus e antispam) e questo fa si che l’indice di esposizione sia sin da subito palesemente elevato (consideriamo che circa il 30% delle pmi ha dichiarato di non utilizzare difese contro cyber minacce). Stesso problema dicasi per molte PA che patiscono sia la problematica del blocco degli investimenti dal punto di vista economico/finanziario (anzi nell’ultimo biennio la spesa si è ulteriormente ridotta), ma anche quello legato al reperimento di figure specializzate e/o formazione specifica causa blocco degli ingressi e ricorso massiccio a procedure di esternalizzazione di molti servizi (fra cui molti legati all’IT), ma sempre con ricorso alle procedure di gara con assegnazione (magari) al massimo ribasso.

Con queste premesse, purtroppo, si potranno mettere in campo tutte le strategie e le procedure per far bene, anche le più accurate, ma senza avere la possibilità che siano attuate da soggetti preparati, pronti e competenti, il livello generale di sicurezza e di reattività a eventi che sono causa di possibili data breach, non diverrà mai una linea retta che unisce tutti i “partecipanti” a questa sfida, bensì sarà sempre una scalinata a gradoni che qualcuno non avrà mai la forza di salire per arrivare fino in cima al sicuro.

BIBLIOGRAFIA/SITOGRAFIA

Regolamento (UE) 2016/679;

Linee Guida WP29

Cybersecurity PA, il “fattore umano” è il problema: lo scenario

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4