l'approfondimento

Data breach, una guida pratica alle notificazioni: le nuove linee guida EDPB

Dal Comitato Europeo per la Protezione dei Dati un vademecum che per individuare con precisione e praticità i contorni dell’attività di classificazione, gestione e valutazione del rischio della violazione dei dati personali, mediante l’elencazione di esempi pratici

04 Mar 2022
Rossella Bucca

Studio Previti Associazione professionale

Lorenzo Pinci

praticante avvocato Studio Previti

Lo scorso 14 dicembre, il Comitato Europeo per la Protezione dei Dati (“EDPB”) ha adottato – in via definitiva, a conclusione del periodo di consultazione pubblica iniziato il 14 gennaio 2021 – le Linee guida 1/2021 sugli esempi relativi alle notificazioni di data breach, con l’obiettivo di supportare i titolari (e/o i responsabili – sub-responsabili) del trattamento dei dati nella gestione operativa delle violazioni, attraverso un’elencazione casistica ed esemplificativa di alcune delle principali minacce e degli elementi da considerare per la valutazione del rischio.

La valutazione del rischio nel data breach: gli errori da evitare

Considerazioni preliminari rispetto alla notifica di “data breach”

Le linee guida in parola (di seguito anche “Linee Guida[1]”) costituiscono un significativo tassello nel percorso di continuità avviato dalle “Guidelines on personal data breach notification under Regulation 2016/679, WP 250[2]” – adottate il 6 dicembre 2018 – le quali, tuttavia, si erano limitate ad analizzare i riferimenti alle violazioni di dati personali contenuti all’interno del Regolamento UE 2016/679 (di seguito anche “Regolamento” o “GDPR”), secondo una modalità più teorica che pratica.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

Veniva, pertanto, percepita l’esigenza di creare una sorta di vademecum che consentisse di individuare con maggiore precisione e praticità i contorni dell’attività di classificazione, gestione e valutazione del rischio della violazione dei dati personali, mediante l’elencazione di esempi pratici.

Preliminarmente, l’EDPB pone l’attenzione sulla nozione di “violazione dei dati personali”, intesa, ai sensi dell’art. 4 del GDPR come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Successivamente, ricorda che, ai fini di una corretta gestione e valutazione del rischio, è fondamentale riconoscere un “data breach”, basandosi sulle nozioni ricavabili dal parere 3/2014 fornito dal WP29 il 25 marzo 2013[3] e dall’art. 32, paragrafo 1, lett. b) del GDPR, secondo cui le violazioni possono essere classificate prendendo spunto dai tre principi di sicurezza delle informazioni:

  • violazione della riservatezza” che si verifica quando sussiste “una divulgazione non autorizzata o accidentale o un accesso ai dati personali”;
  • violazione dell’integrità”, identificantesi in un’“alterazione non autorizzata o accidentale dei dati personali”;
  • violazione della disponibilità”: “perdita, accesso ovvero distruzione accidentale o non autorizzata di dati personali”.

Peraltro, prendendo spunto dall’illustrata classificazione, l’EDPB precisa che, ancor prima di preoccuparsi di gestire materialmente e concretamente la violazione, il titolare del trattamento (o il responsabile o il sub-responsabile) debbano interrogarsi sulle criticità che hanno dato origine alla problematica, verificando se siano ancora presenti o meno, per evitare che la stessa violazione possa ripresentarsi in futuro, confermando, dunque, l’importanza del trattamento dei dati personali nel pieno rispetto dei principi di “privacy by design” e di “accountability”, unitamente all’assunzione di misure tecniche ed organizzative adeguate a mitigare i rischi.

Solo seguendo tale iter, sarà possibile individuare il “data breach” e procedere alla valutazione dei rischi concreti per i diritti e le libertà dei soggetti interessati, maturando, dunque, in presenza dei presupposti previsti dal GDPR, la decisione di procedere alla notifica all’autorità di controllo, ex art. 33 del Regolamento e, eventualmente, alla comunicazione nei confronti degli interessati.

Le macroaree di “data breach” individuate dall’EDPB

Delineato il contesto normativo di riferimento all’interno del quale si colloca il “data breach”, l’EDPB procede all’individuazione di sei differenti macroaree, idonee allo sviluppo di esempi pratici comprensivi altresì delle azioni migliorative e mitigative che i titolari e/o i responsabili, sub-responsabili devono assumere nell’affrontare le violazioni di dati personali. Tali macroaree sono:

  • Ransomware.
  • Attacchi che comportano l’esfiltrazione di dati (sfruttano le vulnerabilità dei servizi offerti dal titolare a terzi su Internet, mediante compromissione di siti web, ad esempio).
  • Errori di natura umana nel trattamento dei dati personali.
  • Smarrimento o furto di dispositivi aziendali e/o di documenti cartacei.
  • Errori nella gestione postale dei documenti (nel caso di loro spedizione).
  • Altri casi rientranti nel settore “ social engineering”.

Si procede, dunque, all’elencazione di alcuni degli esempi più importanti individuati dall’EDPB, quantomeno in relazione alle aree che presentano comunemente maggiori profili di rischio per le aziende che si trovino a dover trattare una mole più o meno consistente di dati personali.

Ransomware

Ricordando che l’attacco ransomware consiste in una tipologia di “malware” che cripta i dati personali, impedendone l’accesso, per poter chiedere un riscatto in cambio del codice di decrittazione, l’EDPB individua alcuni esempi specifici di questa varietà di attacchi.

  • Si consideri l’ipotesi di un attacco informatico ai danni di una struttura ospedaliera, concernente i dati personali comuni e particolari del personale e dei pazienti, senza, tuttavia, che sia intervenuta un’esfiltrazione degli stessi; esiste una procedura di back up, ma, nonostante ciò, è necessario attendere un paio di giorni per completare le operazioni di ripristino, con conseguenti rinvii, disguidi e cancellazioni degli interventi sanitari che erano stati programmati. A fronte di un simile caso, l’EDPB ritiene necessaria la notifica all’Autorità di Controllo oltre che la comunicazione ai soggetti interessati, suggerendo misure mitigative quali: firmware e back up da tenere costantemente aggiornati e periodicamente testati; crittografia forte; test di vulnerabilità e di penetrazione su base regolare; procedura di segmentazione ed isolamento dei dati e delle reti; firewall appropriato, aggiornato, efficace ed integrato; sistema di rilevamento e prevenzione delle intrusioni; autenticazione a due fattori, ove possibile[4], anche in considerazione della consistente quantità di dati interessati dalla violazione.
  • Un’azienda agricola subisce un attacco informatico riguardante i dati personali di alcuni dei dipendenti e dei clienti, poche decine di persone in totale, senza che sia intervenuta esfiltrazione. Non era stata adottata alcuna procedura di back up, per cui, ai fini dell’attività di ripristino dei dati, vengono impiegati parecchi giorni lavorativi, che inevitabilmente ritardano la consegna degli ordini in favore dei clienti. In questa ipotesi, l’EDPB ritiene sussistente unicamente la necessità di una notifica all’Autorità di Controllo, in virtù del numero ristretto di soggetti coinvolti e delle conseguenze non particolarmente pregiudizievoli per i diritti e le libertà degli interessati. Anche in questo caso, le misure consigliate dal Board sono quelle indicate al precedente punto 1.

Errori di natura umana nel trattamento dei dati personali

  • Attraverso un bug di sistema, un agente assicurativo ottiene l’accesso ad informazioni di carattere personale relative a clienti con cui non ha intrattenuto alcun tipo di rapporto contrattuale. Egli è tenuto al segreto professionale ed è l’unico destinatario dei messaggi di posta elettronica. Peraltro, in virtù dell’accordo di nomina con il titolare del trattamento, l’agente è tenuto a segnalare immediatamente l’intervenuta violazione dei dati personali ed a cancellare i messaggi contenenti le informazioni personali, fornendo altresì documentazione scritta sul punto. In un caso siffatto, avuto riguardo alle circostanze e al numero ristretto di soggetti coinvolti (circa due dozzine), l’EDPB conferma la non necessità né di una notifica all’Autorità di Controllo né di una comunicazione ai soggetti interessati coinvolti e suggerisce di adottare le seguenti misure tecniche ed organizzative: a) programmi di formazione che consentano a chi abbia accesso ai dati personali di comprendere a pieno l’importanza della loro protezione; b) riduzione dello scambio di files attraverso la posta elettronica, utilizzando, invece, sistemi specifici e segregati, dedicati al trattamento dei dati dei clienti; c) creazione separata e controllo plurimo dei files prima dell’invio.
  • Il dipendente di una società conserva una copia dei dati personali dei clienti contenuti all’interno del database aziendale; utilizza, poi, tali dati, per la finalità di contatto commerciale in favore di una diversa azienda, nella quale viene assunto dopo poco tempo dall’interruzione del rapporto di lavoro nella prima società. In questo caso, l’EDPB ritiene che, anche se l’unico obiettivo dell’ex dipendente è limitato ad ottenere le informazioni di contatto della clientela dell’azienda per i propri scopi commerciali, il titolare non è in grado di considerare basso il rischio per gli interessati, poiché non ha alcun tipo di rassicurazione sulle intenzioni del dipendente che si sia impossessato dei dati. Ciò comporta che non si possa escludere un ulteriore e più grave abuso dei dati sottratti. Tuttavia, in ragione della quantità medio-bassa dei dati stessi e della qualità di tali informazioni (semplici dati di contatto), l’EDPB considera necessaria solamente la notifica all’Autorità di Controllo, raccomandando alle aziende l’adozione di mirate politiche di controllo nell’accesso dei dati dei clienti da parte dei dipendenti.

Smarrimento o furto di dispositivi aziendali e/o di documenti cartacei

Nei casi di perdita o furto di dispositivi aziendali o di documenti cartacei, il titolare deve prendere in considerazione le circostanze del trattamento, ad esempio il tipo di dati memorizzati sul dispositivo o contenuti all’interno del documento, oltre che le misure adottate per garantire un adeguato livello di sicurezza.

  • Si verifica il furto di notebook del dipendente di una società fornitrice di servizi contenente dati personali comuni di oltre centomila clienti. Il dispositivo non è protetto da adeguati sistemi crittografici, ma è attiva una procedura di backup: la mancanza di misure di sicurezza basilari aumenta il livello di rischio per gli interessati. Anche l’identificazione delle persone interessate è problematica, il che aumenta la gravità della violazione. I soggetti coinvolti, infatti, potrebbero subire furti d’identità. L’attivazione della crittografia del dispositivo e l’uso di password particolarmente sicure, unitamente all’autenticazione a più fattori; all’access control; al divieto di memorizzazione delle informazioni sensibili sui dispositivi mobili; avrebbero potuto evitare la dispersione dei dati e la traduzione di tale evento in un rischio gravemente consistente per i diritti e le libertà degli interessati. L’EDPB sostiene, dunque, la necessità sia di una notifica all’Autorità di Controllo sia di una comunicazione ai soggetti interessati coinvolti.
  • Durante un’irruzione in un asilo, vengono rubati due tablet, contenenti un’applicazione che raccoglie i dati personali comuni dei bambini che lo frequentano. I dispositivi sono criptati, sottoposti a procedura di backup, al momento del furto sono spenti; l’applicazione è protetta da password sicure. Dopo essere venuto a conoscenza tempestivamente dell’accaduto, il titolare avvia una procedura di sicurezza a distanza che consente la cancellazione dei dati inseriti all’interno dei tablet. Grazie alle misure adottate, la riservatezza dei dati non è minimamente intaccata. Inoltre, il backup garantisce la disponibilità dei dati personali. Pertanto, è improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone interessate, quindi, secondo le valutazioni dell’EDPB relative al caso di specie, non è necessaria alcuna notifica all’autorità di controllo o alle persone interessate.

Conclusioni

Dalla superiore disamina, pare possibile desumere che l’attenzione del Board intenda concentrarsi non soltanto sui principi che regolano la valutazione completa del rischio e la sua conseguente gestione, ma anche e soprattutto sulle circostanze verificatesi realmente, che danno origine alla fattispecie.

Se il titolare, il responsabile o il sub-responsabile valutano improbabile il rischio, ma questo effettivamente si concretizza, l’autorità di controllo può intervenire, esercitando i propri poteri correttivi e deliberando le opportune sanzioni. Per questo, è di vitale importanza che il titolare (o chi per lui) delinei piani e procedure che gli consentano di gestire al meglio le eventuali violazioni di dati personali, investendo, ad esempio sulla formazione afferente all’identificazione dei data breach e alle correlative azioni da intraprendere.

Le sessioni formative dovrebbero essere periodiche ed implementate a seconda del tipo di attività di trattamento e delle dimensioni delle aziende, riservando precipuo spazio ai possibili attacchi informatici o altri incidenti di sicurezza, nell’ottica dei principi di “privacy by design” e di “accountability”. All’uopo, lo stesso Comitato suggerisce la predisposizione di una sorta di “Manuale sulla gestione della violazione dei dati personali” finalizzato ad individuare gli elementi caratterizzanti il trattamento in tutte le sue possibili sfaccettature ed a documentare tutte le misure tecniche ed organizzative implementate dal titolare per la sicurezza dei dati personali.

  1. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en
  2. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052
  3. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/index_en.htm#maincontentSec4
  4. Si veda paragrafo 49 delle Linee Guida.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4