Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

l'approccio corretto

Data breach e Gdpr, che fare per rispettare le norme

Il termine delle 72 ore massime previste dal Gdpr per comunicare un avvenuto data breach non è impossibile da rispettare a patto che si adotti il giusto approccio e che si investa, oltre che in tecnologie, anche nel fattore umano e nella formazione specifica. Vediamo gli step necessari e le priorità d’intervento

17 Ott 2018

Leonardo Scalera

Data Protection Officer Penitenziaria Bari-ministero di Giustizia


Chi dovrà preoccuparsi della corretta applicazione e dell’integrale rispetto di quanto previsto dal GDPR in materia di data breach? E’ una delle questioni sottovalutate e che occorre ora approfondire, per provare a dare una risposta.

Per doverosa chiarezza riportiamo quanto recita il Regolamento (UE) 2016/679 in materia di protezione dati personali, agli Artt. 32 (“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” ) – 33( “notifica di una violazione dei dati personali […]).

Proprio in virtù di quanto chiaramente indicato nel Reg. (UE)2016/679 (GDPR) la domanda c) assume dei contorni degni di un libro giallo; infatti, se, tutto sommato, la norma risulta essere abbastanza chiara, è allo stesso tempo vero che non viene indicata nessuna “parola magica” o ricetta di “pozione miracolosa” per far si che tutti i soggetti sottoposti alla valenza del GDPR siano in grado di fare quello che viene richiesto.

Proprio a questo punto vanno necessariamente tirati in gioco nuovamente gli italici ingredienti che hanno fatto si che ad oggi quasi nessun ente, Pa, pmi ecc fosse abbastanza “forte” da poter affrontare l’avvento di quanto previsto in questa parte di GDPR.

Molti continuano a cercare soluzioni preconfezionate o di facile attuazione (oltre che a costo zero sia in termini economici che in termini di tempo e di “persone”), anche se ritengo che dopo lungo peregrinare dovranno rassegnarsi, altri attendono e “riflettono”.

Rivalutazione dei processi aziendali

Dare una risposta alla domanda, o quantomeno cercare di formularne una quantomeno da “18” accademico, passa senza dubbio da una seria fase di cambiamento, di rivalutazione dei processi aziendali fino ad oggi utilizzati, anche se perfettamente funzionanti e consolidati.

Questo è senza dubbio uno step fondamentale in quanto, non sarebbe concepibile riuscire a gestire, ma neanche semplicemente individuare un data breach, senza aver creato a monte delle procedure di “gestione della vita del/dei dato/i” e aver messo in conto, nello stesso tempo, un serio piano di “investimenti” (sia dal punto di vista economico/finanziario che dal punto di vista del fattore umano) indirizzati proprio a colmare i gap esistenti in molte realtà (non solo PMI e PA!).

Il Gdpr fa da traino agli investimenti in sicurezza

Vero è, però, che in questi ultimi mesi le cose si sono mosse e anche verso giusto. A riprova di questi positivi movimenti ci sono le stime di diverse indagini che vedono un incremento degli investimenti rispetto al periodo precedente proprio grazie al “traino” del GDPR. Ad esempio la percentuale delle aziende che ha messo in campo progetti strutturati di adeguamento al GDPR ha oltrepassato il 51% rispetto al 9% rilevato circa un anno fa; le aziende che hanno stabilito un budget ad hoc per gli adeguamenti al GDPR sono passate dal 15% a circa il 60%, le aziende che affermano che incrementeranno in organico i ruoli preposti alla gestione della privacy hanno raggiunto il 49%, mentre la percentuale delle aziende che afferma di avere già in organico o di collaborare con un DPO allo scopo di facilitare il rispetto del GDPR si avvicina al 30%.

Una buona fetta di risorse sono state destinate a quella serie di attività propedeutiche sia al raggiungimento della conformità al regolamento che proprio alla “vigilanza” e protezione sui dati in ottica data breach. Infatti troviamo percentuali intorno al 10% dedicate agli investimenti in Security testing, al 20% troviamo la business continuity & disaster recovery e al 15% troviamo il ricorso a piattaforme di incident response e sistemi di Identity e access management.

Un cambio di marcia “intellettuale”

Altro aspetto fondamentale da tenere in considerazione, senza del quale ci si troverebbe di fronte ad investimenti “fini a se stessi” è proprio legato a quel cambio di marcia “intellettuale” ossia legato al tipo di approccio e strategia da mettere in campo prima che un data breach, o simile, investa la realtà all’interno della quale si opera.

Già in molte occasioni è stato ribadito come un azzeramento dei rischi sia da considerarsi utopistico, ma tendere alla minimizzazione di essi con una corretta analisi e corrette strategie, al contrario, è possibile.

Per far questo potremmo immaginare una “ricetta” con varie fasi: quella di analisi dello stato dell’arte, quella della verifica costante e della rilevazione, fino, se del caso, alla comunicazione e alla registrazione dell’evento (anche solo tentato a volte).

Fase fondamentale, quindi, è proprio il prima, dove per prima intendiamo tutte le fasi di analisi che ci consentono di capire e valutare quantità di dati personali gestiti, tipologia di trattamenti, soluzioni o procedure già esistenti e loro verifica. Questi macro passi consentiranno di “stimare” il livello di rischio con il quale l’azienda (o l’ente) è esposto al pericolo di un data breach.

NB: è bene chiarire che in questa fase, più che mai, il motto “l’unione fa la forza” trova una collocazione perfetta. Nel processo di stima del rischio vanno sicuramente coinvolti il maggior numero di attori possibili in relazione alle attribuzioni, settori e competenze (Marketing, IT, Finance, Privacy, legal, HR ecc) proprio per poter sfruttare le visioni, le conoscenze e le esperienze reali in ognuno di questi campi.

Nella seconda fase, una volta stabilita l’esposizione, è necessario costruire un processo per valutare un eventuale data breach. Per fare questo bisognerà partire senza dubbio focalizzandosi su quanto indicato nelle linee guida del WP29 in materia di data breach partendo dalle 3 macro categorie in esse definite:

  1. Confidentiality breach in caso di accesso accidentale o abusivo a dati personali;
  2. Availibility breach in caso di perdita o distruzione sia accidentale che non autorizzata di dati personali;
  3. Integrity breach in presenza di alterazioni accidentali o non autorizzate di dati personali.

Sulla base della definizione delle macro aree, quindi, il processo dovrà permettere di valutare il rischio effettivo cui i dati sono esposti e di conseguenza l’impatto nel caso si verificasse uno degli eventi descritti.

Le priorità di intervento

Valutazione da effettuarsi anche sulla base delle misure di sicurezza adottate sui sistemi, alla tipologia di dati e il livello di identificabilità degli interessati. Solo al termine di queste fasi si potranno definire le priorità di intervento che dovranno sicuramente tendere a:

  1. identificare e definire una scala di valori di criticità;
  2. identificare le vulnerabilità;
  3. valutare il rischio e l’impatto in caso di data breach;
  4. stabilire la soglia massima/minima di accettazione del rischio;
  5. definire le contromisure (importante in questo caso rammentare quanto previsto all’art 34 comma 3 lett. b) in merito alla possibilità di non comunicare l’accaduto agli interessati nel caso i cui siano state adottate tutte le misure atte a scongiurare il sopravvenire di rischio elevato per i diritti e le libertà degli interessati).

Chiaro che per far si che quando detto possa trovare applicazione vanno senza dubbio attuati piani di formazione, aggiornamento di tutti quei soggetti coinvolti al fine di accrescere il livello di consapevolezza.

Una chiara definizione dei ruoli

Altro passo fondamentale proprio nel processo di verifica/identificazione/rilevazione/comunicazione sta nella chiara definizione dei ruoli all’interno del ciclo di vita dei dati. Risulta, infatti, quanto mai fondamentale stabilire chiaramente ruoli e responsabilità dei processor cui si affida il titolare del trattamento proprio per stabilire corrette strategie collaborative in assenza delle quali tutto il percorso costruito per reagire ad un eventuale data breach risulterebbe inattuabile.

Proprio la consapevolezza creata, anche, da una chiara definizione di ruoli e responsabilità, nonché una comunicazione veloce ed efficace può portare a far si che il termine delle 72 ore massime previste per la comunicazione di un avvenuto data breach, decorrenti dal momento della rilevazione, possa essere considerato un termine sufficiente e non impossibile da rispettare.

Investire nel fattore umano

Se la definizione delle procedure sarà stata fatta nel modo migliore, i soggetti preposti, a rilevazione della violazione avvenuta, potranno essere in grado di comunicare tempestivamente al titolare del trattamento o al DPO l’accaduto avviando, in questo modo, le successive fasi atte all’effettuazione delle valutazioni necessarie sulla base di quanto previsto negli artt. 33 e 34 in merito alla comunicazione della violazione all’autorità di controllo e eventualmente agli interessati.

Oltre, quindi, a corretti e necessari investimenti “strutturali” risulta quindi chiaro e imprescindibile l’investimento nel fattore umano e nella formazione specifica. Alcuni settori stanno già attuando queste politiche, infatti per alcune figure di alta specializzazione (security administrator, security analyst ecc.) le percentuali di richieste sono in aumento.

L’indice di esposizione di pmi e pa

Come sempre, però, non è possibile fare un ragionamento unico. Infatti se quanto detto può essere considerato (seppur con variazioni e modifiche ad hoc) per varie tipologie di soggetti (aziende, pmi e PA), è allo stesso tempo tristemente vero che nelle pmi di dimensioni medio piccole le soluzioni utili alla realizzazione delle prime fasi del processo di individuazione/valutazione di un data breach sono sostanzialmente basilari e standard (antivirus e antispam) e questo fa si che l’indice di esposizione sia sin da subito palesemente elevato (consideriamo che circa il 30% delle pmi ha dichiarato di non utilizzare difese contro cyber minacce). Stesso problema dicasi per molte PA che patiscono sia la problematica del blocco degli investimenti dal punto di vista economico/finanziario (anzi nell’ultimo biennio la spesa si è ulteriormente ridotta), ma anche quello legato al reperimento di figure specializzate e/o formazione specifica causa blocco degli ingressi e ricorso massiccio a procedure di esternalizzazione di molti servizi (fra cui molti legati all’IT), ma sempre con ricorso alle procedure di gara con assegnazione (magari) al massimo ribasso.

Con queste premesse, purtroppo, si potranno mettere in campo tutte le strategie e le procedure per far bene, anche le più accurate, ma senza avere la possibilità che siano attuate da soggetti preparati, pronti e competenti, il livello generale di sicurezza e di reattività a eventi che sono causa di possibili data breach, non diverrà mai una linea retta che unisce tutti i “partecipanti” a questa sfida, bensì sarà sempre una scalinata a gradoni che qualcuno non avrà mai la forza di salire per arrivare fino in cima al sicuro.

BIBLIOGRAFIA/SITOGRAFIA

Regolamento (UE) 2016/679;

Linee Guida WP29

Cybersecurity PA, il “fattore umano” è il problema: lo scenario

@RIPRODUZIONE RISERVATA

Articolo 1 di 3