– Di Giuseppe Virgallita
Sentiamo parlare moltissimo del “Data Breach”, ma che cosa è veramente?
Con il termine “Data Breach” si intende un incidente informatico, di natura intenzionale o colposa, che coinvolge i dati ed i flussi di informazioni digitali.
Il Regolamento UE 2016/679 (GDPR) in materia di protezione dei dati personali fornisce una definizione analitica di Data Breach agli artt. 33 e 34, definendolo come:
“una violazione di sicurezza, accidentale o illecita, che causa la distruzione, la perdita, la modifica, la divulgazione, la diffusione o l’accesso non autorizzato ai dati personali”.
Norton aggiunge che si tratta di “un incidente nella sicurezza durante il quale si assiste all’accesso a delle informazioni senza autorizzazione”.
Queste definizioni ci lasciano evincere che non è necessario che la violazione avvenga a causa di un cyber-attacco.
Quali sono i fattori che determinano un data breach?
Beh, possono essercene diversi. Un attacco effettuato da un hacker esterno all’organizzazione, oppure da un furto intenzionale perpetrato da un dipendente a danno della propria azienda (c.d. white collar crimes). Interessante notare che ben oltre il 75% dei casi di data breach sono causati da un errore umano, come la trasmissione o il deposito di un file non sicuro o altamente a rischio, o da comportamenti dei dipendenti, innocui ma idonei a provocare un concreto pericolo per la protezione e gestione dei dati aziendali.
L’Italia è molto spesso coinvolta in casi di violazione dei dati. La sensibilità delle nostre imprese nazionali sulla tematica della protezione dei dati personali, purtroppo, è ancora scarsa. Ne vedremo qualche esempio tra poche righe.
È inoltre da considerare che molti data breach non vengono comunicati tempestivamente e che in alcuni casi ci si rende conto anche a decine di mesi di distanza dal loro epilogo. Basti pensare che il 28 maggio scorso, il GDPR ha compiuto i primi due anni dalla sua entrata in vigore e secondo i dati pubblicati da FederPrivacy, il 7 gennaio di quest’anno, l’intero 2019 si era chiuso con un ammontare totale di sanzioni comminate dalle Autorità Garanti europee pari a circa 410 milioni di euro e con il primato, tutto italiano, per il numero di provvedimenti.
Vediamo più nel dettaglio alcuni casi accaduti in Italia:
- 14 maggio 2020, data breach occorso nei confronti dell’INPS fra il 31 marzo ed il 1° aprile in occasione dell’avvio della procedura di richiesta di erogazione degli importi a sostegno del reddito, legate alla situazione di emergenza sanitaria. L’INPS ha notificato oltre i termini la violazione all’Autorità Garante per la Privacy ed il 14 maggio la stessa Autorità ha prescritto all’ente previdenziale di comunicare entro i 15 giorni successivi le violazioni dei dati personali a tutti i soggetti interessati coinvolti e di informare, entro 20 giorni, l’Autorità Garante sulle modalità di attuazione di tali comunicazioni, pena la determinazione e la comminazione di una sanzione amministrativa e pecuniaria.
- 6 marzo, l’Autorità Garante ha sanzionato due licei situati nella regione Campania per aver illecitamente pubblicato sul proprio sito web dati sensibili coinvolgendo in totale 3.500 persone. La sanzione comminata è stata di 4.000,00 € per ciascun istituto scolastico per violazione dei principi di correttezza, liceità, trasparenza e minimizzazione dei dati.
- 24 gennaio la struttura nosocomiale “Villa Sofia Cervello” di Palermo ha dovuto versare la somma di 15.000,00 € a titolo di risarcimento danno, in favore di un avvocato che aveva intentato una causa per aver visto pubblicato sul sito dell’ospedale i suoi dati personali caricati per errore.
- 23 gennaio, l’azienda Ospedaliera Integrata di Verona è stata sanzionata per un importo di 30.000,00 € a seguito di un episodio di data breach relativo a tre accessi non autorizzati ed effettuati dai propri dipendenti al dossier denominato “pazienti/dipendenti”.
- 17 gennaio, ENI Gas e Luce ha avuto due sanzioni amministrative pecuniarie, una pari alla somma di euro 8,5 milioni per illecita attività di telemarketing e di teleselling e l’altra pari a 3 milioni di € per l’attivazione di contratti non richiesti.
Come prevenire gli episodi di data breach
La garanzia della totale sicurezza di un sistema informatico non è facilmente raggiungibile. Alle aziende, viene richiesto dal legislatore europeo di scegliere in completa e totale autonomia un adeguato sistema di sicurezza in relazione alla riservatezza, alla tipologia ed al volume dei flussi di dati trattati. Le linea guida di AGID (Agenzia per l’Italia Digitale) per la Pubblica Amministrazione, unite ai consigli ed alle raccomandazioni predisposte dal Comitato Europeo per la protezione dati personali (EDPB), possono essere un valido punto di riferimento per implementare le misure di sicurezza da adottare nel caso concreto e verificare il gap rispetto all’azienda. Per prevenire e scongiurare un data breach bisogna lavorare bene a partire dalle fasi iniziali del processo di individuazione delle misure di protezione e controllo più adeguate.
È, infatti, possibile evidenziare immediatamente delle vulnerabilità di sicurezza macroscopiche che potrebbero essere sanate con costi assai modesti e contenuti.
Come va valutato il rischio derivante da data breach?
Preliminarmente, occorre distinguere tre macro-categorie di data breach:
- “Confidentiality Breach”, in caso di divulgazione o di accesso accidentale/abusivo ai dati;
- “Avaibility Breach”, in caso di una perdita e/o distruzione accidentale o non autorizzata di dati;
- “Integrity Breach”, in caso di modifica non autorizzata o accidentale di dati.
L’analisi della violazione deve permettere una valutazione del rischio effettivo di diffusione del dato, anche in funzione delle misure di sicurezza adottate, della tipologia dei dati trattati e del grado di identificabilità delle eventuali persone fisiche coinvolte. Da questa valutazione ne consegue la definizione della scala di priorità delle azioni da intraprendere.
Un valido ed efficace processo di valutazione del data breach si articola nelle seguenti fasi:
- Individuazione e definizione di una scala di valori di criticità in relazione alle differenti tipologie di dati raccolti o trattati dalle infrastrutture IT aziendali;
- Valutazione del rischio e dell’impatto del data breach in relazione alle misure di sicurezza adottate;
- Messa in atto delle azioni di risposta in funzione del tipo di data breach subito e degli investimenti necessari per l’impiego delle risorse necessarie.
Come notificare l’avvenuta violazione dei dati
Il GDPR dispone il dovere di notifica di eventuali violazioni entro il termine massimo di 72 ore, ove possibile senza un ingiustificato ritardo, dal momento in cui si è venuti a conoscenza di detta violazione, salvo che sia altamente improbabile che la violazione rappresenti un rischio per i diritti e per le libertà delle persone fisiche. Il Regolamento UE 2016/679, di fatto, non dispone di nessun obbligo di notifica. Il Garante della Privacy, lo scorso 30 gennaio, ha pubblicato i numeri inerenti all’applicazione del GDPR dal quale emergono 4.704 reclami e segnalazioni su possibili violazioni dei dati e oltre 630 casi acclarati di notificazioni di data breach. Risulta, perciò, prioritario per le aziende private e Pubbliche Amministrazioni un adeguamento urgente e puntuale alle prescrizioni imposte dal GDPR:
A tal scopo, è necessario adottare e predisporre un modello di analisi del data breach, al fine di valutare il rischio e la conseguente necessità di notificare l’avvenuta violazione ai soggetti interessati ed alla Autorità Garante nazionale; dunque, occorre delineare un processo aziendale interno per rispondere prontamente agli incidenti informatici.
Nello specifico, un processo di analisi e valutazione del data breach si dovrebbe articolare in quattro fasi necessarie:
- Preparazione specifica e non superficiale;
- Reazione;
- Comunicazione tempestiva;
- Registrazione di tutto ciò che è avvenuto e di quanto è stato fatto.
Verificata l’alta probabilità di rischio per la libertà, la riservatezza ed i diritti degli interessati, si dovranno informare gli stessi senza alcun ingiustificato ritardo, cioè entro 72 ore dal momento in cui l’azienda è venuta a conoscenza ed ha avuto contezza del data breach. Valutare in modo corretto la necessità di comunicazione è di importanza vitale, in quanto una comunicazione non tempestiva e non necessaria potrebbe comportare un danno di immagine e/o di reputazione non indifferente per la stessa azienda.
Le linee guida, c.d. “best practices” di settore, dispongono che:
- Devono sempre essere privilegiate le modalità di comunicazione diretta (e-mail, SMS, ecc.);
- Il contenuto delle comunicazioni deve essere il più possibile evidente, semplice e trasparente;
- È fondamentale tenere conto delle diversità linguistiche e dei formati alternativi di visualizzazione.
Il Regolamento UE 2016/679, tuttavia, stabilisce che sia possibile procedere con una comunicazione di carattere pubblico, qualora la segnalazione diretta richieda oneri non eccessivi per i titolari del trattamento.
Come si conclude un procedimento di data breach
L’articolo 33 del GDPR prescrive che i Titolari del trattamento documentino tutte le violazioni dei dati subite, descrivendo nel modo più dettagliato possibile le circostanze, l’impatto, le conseguenze ed i rispettivi provvedimenti adottati. La correzione, c.d. “remediation”, insieme al continuo miglioramento nella sicurezza del trattamento di dati, è il fine ultimo del legislatore europeo e nazionale.
In caso di data breach, quali sanzioni prevede il GDPR?
Qualora le varie Organizzazioni (Enti Pubblici o imprese private) non dovessero rispettare gli obblighi previsti dal GDPR in materia di data breach, il Regolamento UE 2016/679 prevede sanzioni pecuniarie fino ad euro 10.000,00 oppure al 2% del fatturato mondiale annuo dell’esercizio precedente; se, invece, superiore (primo scaglione), ovvero fino ad euro 20.000,00 o al 4% del fatturato mondiale annuo del precedente esercizio, se superiore (secondo scaglione).
In conclusione, il potenziale pericolo di un data breach ha generato paura e molta confusione all’interno delle Pubbliche Amministrazioni e degli Enti privati. Soprattutto per quanto riguarda il rischio, peraltro molto elevato, di incorrere in pesanti sanzioni pecuniarie. Per prevenire il verificarsi di un rischio di data breach ed essere pronti a fronteggiarlo correttamente è cruciale adottare specifiche metodologie. Dunque, è consigliabile avvalersi della collaborazione e dell’esperienza di professionisti del settore, al fine di evitare danni di natura economica e reputazionale che possono avere un impatto sull’azienda e sulla sua immagine.
Sarebbe inoltre auspicabile che ogni azienda privata o Pubblica Amministrazione decida di dotarsi dell’aiuto di un Responsabile della protezione dati (DPO). Il DPO raccorda il Titolare (inteso come azienda o Pubblica Amministrazione nella sua totalità), i dipendi per la gestione dei dati e l’Autorità Garante nazione, realizzando, così l’accountability, principio cardine che permea l’intero impianto normativo del GDPR.