Gdpr e “data breach”, i principi da rispettare per le segnalazioni

Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. L’attuale approccio, come evidenziato da uno studio del 2015, presenta numerose falle che vanno corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR

13 Ott 2017
Giuseppe Vaciago

R&P Legal e Founder di LT42

cyber_394015561

Gli innumerevoli security report ci raccontano, con statistiche raramente allineate tra loro, uno scenario sempre più complesso dove i “Mega-Breach” si accostano ad attacchi massivi verso le PMI e i privati (qui e qui degli esempi). Un denominatore comune, tuttavia, è l’efficacia transnazionale di questi attacchi. Infatti, anche nel caso di attacchi rivolti a PMI di un singolo Stato, la metodologia di attacco, ove risulti vincente, viene spesso replicata anche in altri Stati. Diventa quindi fondamentale un approccio congiunto almeno a livello Europeo al fine di poter condividere e scambiare informazioni in tempo reale sulle minacce presenti in ogni singolo Stato Membro.

In uno studio del 2015 redatto dai rappresentanti dei Garanti per la protezione dei dati personali di cinque Stati Membri (Italia, Spagna, Francia, Germania, Grecia) si è effettuato un “cyber exercise” che ha visto coinvolti Francia, Germania, Grecia, Irlanda, Italia, Polonia e Spagna, e il cui scopo è stato quello di valutare il livello di preparazione degli Stati membri al fine di prevenire, o comunque, contenere, i danni derivanti da attacchi informatici di portata transnazionale e, in ultima istanza, di promuovere forme efficaci di collaborazione tra Stati membri.

I risultati hanno evidenziato, come era ipotizzabile, i seguenti limiti: in primo luogo, manca una lista di referenti (“point of contact”) dei vari Stati membri, circostanza che genera non pochi problemi in termini logistici e comunicativi in caso di situazioni di urgenza; altrettanto, manca una procedura che consenta uno scambio di informazioni sicuro e, per quanto possibile, anonimo; da ultimo, non è stata ancora trovata una soluzione ai ben noti problemi di giurisdizione e legge applicabile, ulteriormente amplificati dai problemi di comunicazione connessi alla compresenza di 24 lingue ufficiali dell’Unione europea utilizzate in caso di segnalazione dai singoli Garanti dei vari Stati membri.

La necessità di superare questi limiti diventa una priorità che può e deve essere raggiunta, anche in considerazione del fatto che il Regolamento europeo sulla Privacy di imminente applicazione, oltre ad estendere l’obbligatorietà della notifica dei data breach a tutti i data controller stabiliti in Europa (artt. 33 e 34 GDPR), e non più a determinati categorie di soggetti come si prevedeva con il Regolamento della Commissione 611/2013, richiede una più ampia cooperazione tra le varie Autorità garanti europee (artt. 60, 61 e 62 GDPR).

Rispondere in modo efficace a un data breach richiede pertanto un approccio multidisciplinare ed integrato, dove vengono presi in esame aspetti di natura tecnica, legale, finanziaria e sociale che coinvolgono tanto il singolo data controller, quanto le stesse Autorità garanti di ogni Stato membro.

Le raccomandazioni che emergono dallo studio, oltre ad evidenziare la necessità di formare una lista di referenti suddivisi per ogni Stato membro deputati alla gestione e al coordinamento delle informazioni rilevanti in caso di data breach, si concentrano sostanzialmente su due aspetti fondamentali:

  1. deve essere previsto lo sviluppo di una piattaforma in grado di supportare lo scambio di informazioni in modo rapido e sicuro, in grado di sostituire l’utilizzo (insicuro) dell’email. La stessa piattaforma, inoltre, potrebbe essere implementata da numerose altre funzionalità in grado di consentire il coordinamento tra le varie Autorità garanti europee;
  2. al netto dell’introduzione della piattaforma, devono essere, comunque, previste delle misure tecniche idonee a garantire la sicurezza del flusso informativo tra i vari Stati membri. Come, già nel 2010, aveva evidenziato alla Commissione Europea un noto ISP, questo tipo di notifiche potrebbe diventare un target molto allettante per i cybercriminali che potrebbero conoscere in tempo reale i principali trend di attacco e un aggiornamento in tempo reale sulle criticità informatiche delle aziende colpite. La possibilità, per quanto paradossale, di un leak derivante da un precedente attacco rende evidente che la creazione di policy condivise costituisce un obiettivo non più rinunciabile.

Partendo da questi presupposti, è possibile formulare alcune riflessioni a margine dell’ottimo lavoro svolto dai Garanti europei.

In primo luogo, la piattaforma raccomandata all’esito dello studio dovrebbe essere dotata di un sistema di data sharing sugli attacchi avvenuti anche solo a livello nazionale: la possibilità, infatti, di consultare una repository costantemente aggiornata in grado di consentire un’analisi efficace sulle più attuali minacce informatiche agevolerebbe l’adozione tempestiva di adeguati strumenti di difesa soprattutto se tali dati venissero condivisi con le Agenzie europee competenti in materia (si pensi ad esempio ad un coinvolgimento di ENISA o EUROPOL). L’approccio statunitense fornisce, nei quarantotto Stati  che hanno adottato una normativa sul data breach, degli spunti che meritano uno studio più approfondito. Ad esempio in Arizona si prevede che, in caso di data breach, la società colpita possa notificare agli interessati tale violazione solo dopo che la polizia giudiziaria ha verificato se tale notifica possa compromettere le indagini. Anche la Federal Trade Commission sollecita l’importanza di una cooperazione tra la società attaccata e l’autorità giudiziaria al fine di avere ogni elemento utili per le investigazioni. Pur essendo estremamente improbabile che la condivisione di questi dati possa portare all’identificazione dell’attaccante, è indubitabile che una loro corretta analisi giochi un ruolo fondamentale per la prevenzione di futuri attacchi.

Tuttavia, è bene evidenziare che la condivisione di un volume di dati così significativo all’interno della piattaforma si accompagna all’esigenza di adozione di particolari cautele in relazione a tre distinti livelli: il primo è quello di garantire, nel rispetto del principio di data minimization, che non siano condivise informazioni non pertinenti alle finalità di sicurezza per le quali la stessa piattaforma è stata creata. Il secondo è quello di rendere omogeneo il modello di segnalazione di data breach (il confronto, ad esempio, del modello francese e di quello italiano attualmente in vigore, evidenzia l’esistenza di significative differenze nel format). È pertanto auspicabile, da un lato, che sia introdotto un modello unico a livello europeo che utilizzi un formato idoneo a garantire un’adeguata interoperabilità; dall’altro, che sia previsto l’obbligo di introdurre, almeno in casi di segnalazione che coinvolgano più giurisdizioni, l’utilizzo obbligatorio della lingua inglese in aggiunta alla lingua ufficiale dello Stato membro. Il terzo, e forse scontato, livello di cautela attiene al rispetto, nella realizzazione della piattaforma, dei principi della privacy “by design” e “by default”, in forza dei quali il trattamento deve sin dall’inizio essere configurato nel rispetto dei requisiti del nuovo Regolamento e improntato alla tutela dei diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Un ulteriore profilo da considerare è sicuramente quello del rispetto dei principi della digital forensics. Se fosse possibile integrare la segnalazione del data breach con l’invio, ove possibile, di allegati che -nel rispetto delle best practices consolidate a livello internazionale in tema di acquisizione della prova digitale e, ovviamente, della privacy dei titolari del trattamento- fornissero utili elementi circa l’attacco, avremmo aggiunto un ulteriore tassello di fondamentale importanza per studiare e, quindi, prevenire gli attacchi informatici.

Pur non ignorando la difficoltà d’implementazione delle soluzioni ora sinteticamente delineate, si deve rilevare come, a pochi mesi dall’entrata in vigore del Regolamento Privacy, diventi necessario “tenere l’asticella alta”. Solo in questo modo si può sperare di poter sfruttare l’occasione fornita dalla nuova normativa privacy per poter implementare a livello europeo un efficace sistema di protezione dalle minacce informatiche.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4