Generalmente i data breach vengono considerati solo dal lato passivo, ossia da chi li subisce e resta coinvolto in fenomeni che portano con sé conseguenze di diversa gravità che si aggiungono alle quasi certe sanzioni del Garante.
È possibile, o meglio utile, analizzare i data breach anche da un diverso punto di vista? La risposta non può che essere affermativa.
Data breach: un insegnamento nascosto
Generalmente quando si apprende la notizia di un data breach ci si trova a criticare l’operato altrui, indicando cosa non ha funzionato e cosa, al contrario, si sarebbe dovuto fare.
In questi casi ci sono due diversi aspetti che possono tradursi, a diverso titolo, in un valore aggiunto per chi si occupa di compliance.
Da un lato, infatti, il confronto sull’evento occorso ad altri può portare a riflettere e ad analizzare quanto la propria realtà di riferimento sia o meno in grado di affrontare una problematica simile e consente, quindi, di valutare eventuali correttivi da applicare. Dall’altro, invece, permette di analizzare i provvedimenti dell’Autorità per verificare quali principi vengano enunciati e, anche in questo caso, come possano essere applicati nel proprio contesto.
Dagli ultimi provvedimenti pubblicati sul sito del Garante in tema di data breach si possono ricavare alcuni importanti indicazioni sulla corretta gestione di un incidente che comporti la compromissione dell’integrità, della confidenzialità e della disponibilità dei dati, che, come è noto, incidono direttamente a norma dell’art. 83 del Regolamento sulla determinazione delle sanzioni amministrative.
Le indicazioni sul comportamento del titolare
Il primo elemento che viene valutato da parte dell’Autorità è la fonte dalla quale la stessa ha appreso la notizia della violazione dei dati. L’aver comunicato il data breach, in conformità alle disposizioni del Regolamento, entro le 72 ore dalla scoperta dell’evento, viene valutato, insieme ad altri indicatori, per la determinazione della (eventuale) sanzione da comminare al titolare del trattamento.
È importante sottolineare che il titolare non esaurisce la propria attività con la notifica a norma dell’art. 33, ma ha uno specifico dovere di collaborazione durante tutta la fase istruttoria.
Ma nella pratica cosa significa cooperare con l’Autorità?
Cooperare significa collaborare al fine di agevolare l’istruttoria e limitare al massimo i tempi della stessa. Così, per esempio, non rientrano nel concetto di collaborazione né l’aver fornito indicazioni generiche sulle misure adottate per contenere gli effetti negativi del data breach, né la mancata risposta alle istanze dell’Autorità (si veda Doc. web , anche9936215, anche se afferente all’ipotesi di responsabilità del titolare del trattamento per assegnazione di Sim a utenti ignari e non specificatamente ad un data breach).
Al contrario la pronta risposta alle richieste del Garante, la sollecita adozione di misure idonee a contenere l’impatto negativo sui diritti e sulle libertà degli interessati, la ricerca della causa dell’evento occorso e l’adozione di correttivi nelle procedure adottate al fine di impedire la replicabilità dell’evento sono comportamenti che vengono considerati di collaborativi con l’attività ispettiva.
Non si deve infatti dimenticare che le attività ispettive dell’Autorità hanno come scopo quello di prescrivere l’adozione di misure idonee a limitare gli effetti negativi sugli interessati in caso di violazione e che precludano la possibilità di una reiterazione della medesima infrazione, oltre, ovviamente, alla irrogazione di eventuali sanzioni.
Il comportamento del titolare prima e dopo il data breach
Interessante, al riguardo, la valutazione, positiva, dell’operato del titolare del trattamento che, a seguito dell’invio di documentazione fiscale ad un destinatario errato, ha attivato indagini interne per individuare le esatte modalità di svolgimento dell’incidente, all’esito delle quali è stata irrogata una sanzione disciplinare alla dipendente che è risultata, per propria ammissione, responsabile dell’accaduto.
Individuato l’errore, umano, il titolare si è poi adoperato al fine di mitigare la vulnerabilità adeguando le proprie procedure interne al fine di garantire un più elevato livello di sicurezza, adeguato al rischio connesso al contesto (sanitario) in cui operava e al fattore umano. Le misure adottate si sono rivelate efficaci non essendosi più verificati ulteriori violazioni della stessa natura (Doc web 9939623).
È necessario sottolineare l’importanza del comportamento del titolare non solo nella fase immediatamente successiva alla scoperta del data breach, ma anche quella immediatamente precedente.
Le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD”, richiedono, infatti, che il titolare e il responsabile del trattamento debbano mettere in atto misure per “individuare […] tempestivamente una violazione” (in tal senso si veda il punto n. 41), con la conseguenza che ogni mancata rilevazione, tempestiva, di violazione dei dati personali causata dalla mancata adozione di misure idonee alla rilevazione, contravviene alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, del Regolamento (Doc. web. 9941232).
L’importanza delle adeguate misure preventive
Alla stessa violazione appena indicata perviene il titolare che non adotti misure adeguate a garantire la sicurezza delle reti, in relazione alla segmentazione e segregazione delle stesse. La necessità, infatti, di “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” impone di adottare sistemi di segmentazione che consentano di limitare gli eventuali effetti negativi di una compromissione dei sistemi evitando che la violazione si estenda a tutta l’infrastruttura (Doc. web. 9941232).
Nello stesso provvedimento il Garante sottolinea, ancora una volta l’importanza dell’autenticazione a due fattori, rilevando che l’utilizzo di una VPN con le sole credenziali di accesso non può integrare una misura adeguata ai sensi del Regolamento.
La gestione delle vulnerabilità note
In tema di misure di sicurezza una particolare valutazione deve essere effettuata con riferimento alle vulnerabilità dei sistemi informatici.
Laddove il data breach sia dipeso da una vulnerabilità nota, e non corretta, di un software, sebbene fossero da tempo disponibili delle versioni più sicure di tale software, le modalità di trattamento dei dati personali dovranno essere considerate non conformi alle disposizioni del Regolamento.
È necessario, quindi, utilizzare sempre software aggiornati, anche laddove l’utilizzo non sia effettuato presso la sede aziendale, ma, come nel caso di specie, presso l’abitazione di un dipendente (Doc web 9941763).
Mitigare gli effetti negativi del data breach
È interessante, poi, soffermarsi sull’analisi delle procedure che il titolare deve attuare nella fase successiva alla scoperta del data breach.
Se, come detto, il titolare deve adoperarsi per adottare misure idonee a mitigare gli effetti negativi del data breach sugli interessati, è importante valutare quale tipologia di azioni possa essere considerata idonea.
Nel caso, per esempio, dell’invio di documentazione contabile a un soggetto diverso dall’intestatario della fattura, è stato ritenuto adeguato l’invito rivolto al destinatario della missiva di distruggere il documento, accompagnato dalla implementazione delle procedure di formazione e dalla modifica del protocollo di gestione delle procedure interne di gestione dei pazienti. Tale attività, complessivamente valutata, ha portato alla qualificazione dell’accaduto come “violazione minore” ai fini della applicazione delle sanzioni amministrative (Doc web 9939623).
L’informazione agli interessati dopo il data breach
Ultima annotazione che riguarda le informazioni agli interessati.
L’informazione che deve essere resa può variare sia in termini di contenuto, sia con riferimento alla tempistica, in relazione alla tipologia di dati coinvolti e alla gravità dei rischi che possono derivare agli interessati.
È quindi necessario che il titolare operi una preliminare valutazione della tipologia di dati e, in relazione a questi, valuti la gravità dei possibili effetti negativi che possono derivare dalla violazione degli stessi. Attraverso una classificazione del rischio come basso-medio-alto, poi, potrà provvedere a dare idonea comunicazione agli interessati, dando precedenza alla categoria “rischio alto” in termini di tempistica (si veda a tal riguardo Doc web. 9896217).
Conclusioni
Dall’analisi dei provvedimenti dell’Autorità si possono ricavare informazioni utili sia per quanto riguarda l’accountability, sia per quanto concerne la compliance della propria realtà di riferimento.
Se un data breach non si può evitare in assoluto, si possono, in ogni caso, evitare errori commessi da altri e si può fare tesoro dell’esperienza (negativa) altrui per essere in grado di gestire un possibile evento avverso.
