cyber security

Data breach, le lacune del GDPR: cosa cambiare per una tutela efficace



Indirizzo copiato

La gestione dei data breach secondo il GDPR presenta criticità, in particolare l’obbligo di notifica entro 72 ore rischia di minimizzare la tutela degli interessati. Serve una revisione normativa che privilegi la comunicazione efficace con gli interessati e promuova un approccio proattivo alla sicurezza dei dati per una migliore protezione dei diritti individuali

Pubblicato il 9 feb 2024

Sergio Aracu

Founding Partner di Area Legale S.r.l.

Stefano Gazzella

Of Counsel Area Legale S.r.l.



data breach

Obiettivo della gestione di una violazione dei dati personali, stando alla lettera e ai principi del GDPR, è consentire la più elevata tutela delle persone fisiche anche a fronte di un incidente di sicurezza che ne ha compromesso i dati personali. Ma un adempimento pedissequo degli obblighi normativi, in concreto, si rivela insufficiente.

La violazione dei dati personali e l’obbligo di notifica

Come è noto, un evento di violazione di dati personali mette alla prova la capacità dell’organizzazione su più livelli: dal management, all’operativo e finanche nei rapporti con i fornitori esterni. Ciò che conta è la capacità di reazione, tanto secondo gli standard di sicurezza informatica con la ricerca di un lesson learning a conclusione dell’incidente, quanto secondo le tempistiche stabilite per notificare all’autorità di controllo tale evento qualora abbia compromesso dei dati personali.

Capacità di reazione che non sempre è ordinata né composta e che di fatto è una prova sul campo dell’efficacia degli interventi svolti di formazione e sensibilizzazione, di procedure e istruzioni operative predisposte e degli stress test eseguiti per la gestione delle situazioni di crisi. Questo però significa per l’organizzazione aver agito in maniera preventiva, in modo tale da poter gestire tanto i flussi informativi interni quanto il fattore umano che è uno degli elementi fondamentali di cui dover tenere conto al fine di innestare un sistema di gestione o anche un singolo processo.

I limiti dell’obbligo di notifica imposto dal GDPR

L’obbligo di notifica imposto dal GDPR, però, sembra guardare in direzione opposta rispetto alla gestione corretta e consapevole della violazione di dati personali. Direzione che può essere la copertura di un quid pluris rispetto alla gestione secondo best practices, ma che rischia di deviare l’attenzione dell’organizzazione che subisce un data breach rispetto all’obiettivo di provvedere alla migliore e più elevata tutela dei diritti delle persone fisiche che possono essere impattate dalla violazione. Non solo interessati, dunque, ma chiunque possa subire un pregiudizio dall’evento.

Ebbene: in vista del maggio 2024, mese in cui la Commissione Europea sarà chiamata a trasmettere al Parlamento e al Consiglio le relazioni di valutazione e riesame periodico del Regolamento come previsto dal suo art. 97, sarà forse necessario riscontrare come attualmente l’obbligo di notifica stabilito dall’art. 33 GDPR si riveli insufficiente nel provvedere a una tutela efficace, nonostante il diaframma dell’autorità di controllo.

L’art. 33 prevede che, in caso di violazione, il titolare notifichi la medesima all’autorità di controllo competente, senza ingiustificato ritardo e comunque entro 72 ore, salvo che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Ciò comporta dunque una valutazione prognostica da svolgere per definire la soglia per cui sussiste tale obbligo, altrimenti la norma avrebbe dovuto imporre la notifica di qualsiasi violazione di dati personali.

Il rischio per i diritti e le libertà delle persone fisiche

Alcune riflessioni sono a questo punto necessario partendo proprio dalla lettera della norma. Nel processo decisionale riguardante l’esecuzione o meno della notifica, l’impatto non conta. Dunque, gravità o magnitudo non devono essere oggetto di computazione, in quanto il titolare deve solo valutare in maniera prognostica se l’evento già realizzato conduca a un rischio “improbabile” o “non improbabile” per i diritti e le libertà delle persone fisiche. Nella risk chain, il tutto si complica in quanto a un evento di violazione possono conseguire nuove minacce da cui estrarre nuove analisi di rischio. E dunque senza un metodo, o una metrica di riferimento, non solo si rischia confusione bensì, ancor peggio, di svilire l’accountability in autodichiarazioni non supportate da logiche o evidenze.

E se il metodo qualitativo o quantitativo può giovare, le normali valutazioni del rischio o di impatto non possono essere adottate nel momento in cui un evento si è già verificato e la norma impone di valutarne la improbabilità che un evento presenti un rischio. Sul piano operativo, le modalità di calcolo oggettivo di probabilità sono il nodo cruciale da sciogliere. È possibile impiegare alcuni metodi del risk management, ma l’assenza di indicazioni esplicite e chiare da parte di autorità di controllo e linee guida è un gap operativo piuttosto significativo soprattutto per chi lavora sul campo.

L’inefficacia del termine di 72 ore per la notifica

Nonostante i migliori intenti della norma, l’esprit des lois non ha giovato alle migliori prassi operative imponendo un termine di 72 ore per la notifica all’autorità di controllo.

In primo luogo, perché tale adempimento sposta il focus del titolare sulla tutela di sé stesso e non dell’interessato, da un lato volendo evitare per quanto possibile un’autodenuncia e dall’altro svolgendo adempimenti formali anche con più fasi di notifica. Nel quinquennio di operatività del GDPR, questo incombente è stato percepito come sostanzialmente inutile dalle organizzazioni nonché da parte degli stessi interessati. In fondo, l’intervento tempestivo di un’autorità di controllo, se non nel caso di data breach di particolare rilevanza, non può avere la medesima tempestività che invece dovrebbe avere un titolare del trattamento nel predisporre misure di mitigazione. E dunque la tempestività della notifica giace negli intenti di tutele più che realizzate, irrealizzabili.

Infine, giova notare che maggiore è l’entità del breach e minore è la possibilità di perimetrarne i contorni in modo definito. Ed ecco – come anticipato – il proliferare di notifiche parziali, spesso soggette a rettifica nel corso del tempo che nulla aggiungono alla capacità da parte dell’autorità di controllo di un intervento efficace. Ma anche qui le risorse organizzative del titolare sono disperse mentre, piuttosto, andrebbero destinate proprio alla ricerca ed attuazione delle misure di maggiore tutela per gli interessati.

In altre parole, se l’accountability è sovrana, come può essere efficace impiegare tempo ed energie del titolare a valutare e compilare quella che di fatto è percepita come una auto-segnalazione, rispetto alla rendicontazione circa la gestione dell’incidente e le garanzie di tutela per gli interessati?

Certamente, il lato positivo della notifica di cui all’art. 33 è stato quello di obbligare i titolari ad operare una attenta valutazione e perimetrazione della violazione, nonché predisporre un processo dedicato alla gestione dei data breach. Ma non sarebbe stato meglio pretendere il medesimo risultato indicandolo come obiettivo, eliminando il contraltare del rischio non improbabile che l’attenzione venga distolta dal focus principale di tutelare gli interessati?

La comunicazione agli interessati come nodo cruciale

Un’ultima considerazione va dedicata proprio agli obblighi di comunicazione nei confronti degli interessati, che il più delle volte si realizzano dopo le canoniche 72 ore o, ancor peggio, in seguito all’intervento dell’autorità di controllo con esercizio del potere correttivo di ingiungere la comunicazione previsto dall’art. 58 par. 2 lett. e) GDPR. Una corretta comunicazione nei confronti degli interessati coinvolti è invece tutt’altro che un adempimento formale, purché però sia tempestiva. Ma detta tempestività, nella norma, è “senza ingiustificato ritardo”. Che a fronte di un rischio elevato poteva ben contemplare invece un’indicazione temporale definita.

Quanto più gioverebbe, infatti, agli interessati e alla loro migliore tutela un’inversione circa le tempistiche prevedendo un obbligo di comunicazione entro le 72 ore dall’evento e un obbligo di notifica senza ingiustificato ritardo? Soprattutto, si imporrebbe una più immediata valutazione della sussistenza di un rischio elevato prima, e solo dopo di un rischio non improbabile.

Conclusioni

Sciogliere questo nodo cruciale in un’opera di eventuale revisione del GDPR non potrebbe che giovare agli obiettivi di protezione che lo stesso Regolamento si pone di conseguire. Altrimenti, tutto rischia di ridursi anche qui in meri formalismi e comunicazioni più difensive che dirette in modo idoneo agli interessati coinvolti affinché possano predisporre in autonomia delle misure per ridurre o evitare gli impatti della violazione realizzata.

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 4