Il fenomeno del Data breach

Con il termine data breach ci si riferisce a una violazione di sicurezza che comporta accidentalmente o illecitamente la perdita, la distruzione, la modifica, la divulgazione o accesso non consentiti di dati personali trasmessi, conservati o trattati. L’articolo 33 del GDPR ha introdotto un obbligo di notifica tale per cui in caso si verifichi tale violazione, il titolare del trattamento deve notificare la violazione all’autorita/ di controllo competente (in Italia il Garante della Privacy) senza ingiustificato ritardo e quando possibile, entro 72 ore dal momento in cui ne e/ venuto a conoscenza, salvo che appaia improbabile che la violazione possa rappresentare un rischio per i diritti e le liberta/ delle persone fisiche. La notifica deve contenere la natura della violazione, le categorie e il numero degli interessati (ove possibile), la comunicazione dei dati di contatto del responsabile della protezione dei dati, la descrizione delle possibili conseguenze della violazione, la descrizione delle misure

182 Per un’analisi approfondita sul tema della “granularita/” del consenso, si rimanda a https://www.privacy.it/2018/01/18/consenso-gdpr-linee-guida-garanti-europei/

adottate per porre rimedio alla situazione in modo da attenuare le conseguenze negative. Ex art. 34, se la suddetta violazione e/ tale da provocare un rischio elevato per i diritti e le liberta/ delle persone fisiche, il titolare del trattamento deve comunicare all’interessato o agli interessati la violazione senza ingiustificato ritardo. Tale comunicazione puo/ essere evitata qualora il titolare del trattamento abbia adottato misure tecniche atte a rendere incomprensibili i dati personali violati (es: cifratura dei dati) o quando, a violazione gia/ avvenuta, si sia adoperato per evitare l’insorgenza di rischi elevati per i diritti e le liberta/ degli interessati. Qualora invece la violazione richieda sforzi sproporzionati, in tal caso si deve procedere tramite comunicazione pubblica o misura equivalente, tramite la quale gli interessati siano in grado di venire a conoscenza di tale violazione.

Resta comunque salvo l’obbligo sancito dal par. 5 dell’art. 33 del Regolamento di raccogliere all’interno dell’apposito Registro delle violazioni tutti i casi di data breach subiti (con relative misure e provvedimenti adottati), anche quando non si sia ritenuto necessario notificarlo alle Autorita/ di controllo o ai diretti interessati.

Una violazione di sicurezza all’interno di un’impresa puo/ avvenire per svariati motivi. Si pensi a situazioni dettate da errori quali ad esempio l’errata consegna di informazioni sensibili a un destinatario sbagliato, l’errata pubblicazione di notizie private in una pagina web, la mancata o errata distruzione dei dati non piu/ necessari. Altre violazioni possono invece provenire da attacchi informatici, di solito attraverso tecniche di phishing volte all’ottenimento di credenziali di accesso. Per prevenire tali situazioni, l’impresa dovrebbe tracciare il comportamento degli utenti allo scopo di identificare comportamenti sospetti, curare in maniera dettagliata la progettazione delle applicazioni web nonche= rafforzare misure e metodi di autenticazione. Altro motivo di violazione puo/ consistere nell’infedelta/ di un dipendente che in forza dei privilegi concessi, puo/ accedere e trasmettere dati sensibili. In questo caso le precauzioni da adottare consistono in una gestione precisa dei diritti di accesso di ciascun dipendente o utente con relativa tracciabilita/ delle attivita/ nelle aree ritenute piu/ a rischio.

Alla luce dei rischi prospettati, le imprese possono adottare piccoli accorgimenti tecnici, ma anche di principio per evitare casi di data breach. Innanzitutto, occorre rafforzare e rivolgere grande attenzione anche alla sicurezza fisica, dal momento che

secondo il Verizon Data Breach Report del 2016 su 2274 casi analizzati di violazioni alla sicurezza, circa il 10 % e/ imputabile a sottrazioni fisiche di materiale contenente dati personali183_{. Cio/ non toglie che la maggior parte delle violazioni avvenga}

attraverso l’utilizzo di strumenti informatici. Anche una protezione di base costituita dalla crittografia dei dati sensibili, dall’autenticazione a due fattori, dall’applicazione costante e rapida delle patch una volta individuate delle vulnerabilita/ nella sicurezza di un programma informatico, possono essere essenziali per limitare o perlomeno scoraggiare eventuali attacchi informatici.

Altri due aspetti su cui un’impresa, anche di piccole o medie dimensioni, dovrebbe concentrarsi sono la formazione del personale e l’istituzione di un comitato data breach. La formazione adeguata e costantemente aggiornata del personale dipendente appare una misura quanto mai basilare: gli addetti ai lavori incaricati di gestire e trattare dati personali devono essere il primo anello della catena di sicurezza di un’azienda. Accanto a questo, e/ necessario tuttavia stabilire anche ruoli e responsabilita/ dei processor (responsabili del trattamento) tramite adeguate clausole contrattuali con il titolare del trattamento. L’istituzione di un comitato per il data breach composto da persone con competenze trasversali (legal, IT, Marketing…) costituisce senz’alcun dubbio una soluzione concreta per reagire in maniera rapida e corretta al fenomeno del data breach184_{. Come anticipato, sara/ l’impresa che dovra/}

valutare l’eventuale comunicazione della violazione all’autorita/. E su questo aspetto pesa non solo la mitigazione della sanzione nel caso la violazione sia comunicata o comunque “riparata” da opportuni interventi, ma anche l’influenza che avra/ la perdita dei suddetti dati, i quali costituiscono un asset strategico per l’azienda185_.

E’ notizia recente la pubblicazione da parte del Garante dei dati relativi alle segnalazioni di data breach avvenute nel periodo 25 maggio 2018 – 31 Dicembre

183 Secondo il rapporto Verizon, compagna di telecomunicazioni statunitense, ogni anno stila un rapporto riportante statistiche e dati relativi a casi di data breach volontariamente riportati dalle aziende, analizzandone cause, effetti e ragioni. Si invita alla lettura del rapporto dell’anno 2016 al sito http://www.verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf (aggiornato al 25 Gennaio 2019).

184 Sulla questione, si veda l’interessante spunto offerto da Diego Padovan (DPO e amministratore DPO Compliance Consulting) nella sua guida Data Breach e GDPR: gestire la crisi con procedure

corrette rinvenibile alla pagina web https://www.cybersecurity360.it/legal/data-breach-le-

2018: sono state ben 630 le notificazioni a riguardo, segno che il tema e/ quanto mai attualissimo e richiede alle imprese un sforzo di adeguamento al GDPR e ai suoi principi (privacy by design e privacy by default su tutti), che deve avvenire anche nel loro stesso interesse186_.