Normative europee

GDPR, come prevenire, identificare e affrontare un data breach

Cos’è un data breach? Come comportarsi nel caso di una violazione dei dati personali? Come si applica il principio di accountability o “responsabilizzazione” e i vari profili previsti per le misure per la gestione del rischio

22 Giu 2020

Nicolò Ballarini

dottore in Giurisprudenza Università degli Studi di Trento, master in “consulenza legale d’impresa” Luiss Business School

Un’efficiente predisposizione di un adeguato assetto organizzativo finalizzato a prevenire i rischi connessi a una possibile violazione del trattamento dei dati personali secondo un approccio risk based è alla base di ogni diligente scelta imprenditoriale, talvolta però ciò non è sufficiente per eliminare quel margine di rischio imprevedibile correlato all’esercizio dell’attività d’impresa.

Cosa deve dunque essere implementato? Come bisogna comportarsi nel caso in cui si dovesse essere in presenza di una violazione dei dati personali?

Data breach, il GDPR e le misure che devono adottare i soggetti interessati

Per data breach si intende comunemente una violazione di sicurezza che comporta, sia che ciò avvenga in modo accidentale sia illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati; detta violazione dei dati personali può compromettere ovviamente la riservatezza, l’integrità o la disponibilità di dati personali dei soggetti coinvolti.

Una definizione che si può agevolmente ricavare dalla lettura dell’art. 4, n.12 del Regolamento (UE) n. 2016/679 meglio noto con la sigla GDPR.

La violazione può verificarsi in vario modo, segnatamente, può trattarsi di accesso o acquisizione dei dati da parte di terzi non autorizzati, di furto o perdita di dispositivi informatici contenenti dati personali, di deliberata alterazione di dati personali; di impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; di perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, di divulgazione non autorizzata dei dati personali.

Il summenzionato Regolamento (UE) prevede (art. 33), nel caso in cui si verifichino dette situazioni, un tempestivo intervento dei soggetti coinvolti, più nel concreto, in caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, si prevede altresì che la notifica deve almeno:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Sulla base dell’art. 34, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve inoltre comunicare la violazione all’interessato senza ingiustificato ritardo, non è comunque dovuta allorquando venga soddisfatta una delle seguenti condizioni:

  • il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure sono state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
  • il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  • detta comunicazione richiederebbe sforzi sproporzionati, in tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Il processo interno sarà, in buona sostanza strutturato su tre livelli rispondenti a differenti ma correlate esigenze:

  • identificazione: in primo luogo occorre verificare se quanto accaduto costituisce una concreta violazione dei dati personali, occorre dunque chiedersi che cosa sia realmente avvenuto, in relazione a quale tipologia di dati, trattamento, archivio e quali fossero le misure di sicurezza e il comportamento posto in essere;
  • registrazione: l’adeguata tracciatura dei dati è di capitale importanza per il titolare al fine di constatare la gravità della violazione e le azioni correttive necessarie, il tutto dovrà essere poi riportato nell’apposito registro dei data breach;
  • comunicazione: il GDPR prevede, come poc’anzi sottolineato, la notifica del data breach al Garante per la protezione dei dati personali e agli interessati secondo le modalità previste.

Nella prima fase di identificazione del data breach occorrerà altresì classificare l’accadimento, sulla base di quanto concretamente verificatosi, a seconda che si tratti di una:

  • violazione della riservatezza: in caso di divulgazione dei dati personali o accesso agli stessi non autorizzato o accidentale;
  • violazione dell’integrità: in caso di modifica non autorizzata o accidentale dei dati personali;
  • violazione della disponibilità: in caso di perdita, accesso o distruzione accidentale o non autorizzata di dati personali.

Nulla esclude ovviamente che una violazione possa riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.

Le disposizioni del GDPR, da questo punto di vista, risultano essere alquanto esaustive, ciò che però deve essere di particolare importanza per quel che attiene le scelte imprenditoriali è il come prevenire dette situazioni, l’assetto che in concreto deve essere adottato, nonché le misure e gli strumenti necessari per prevenire e analizzare il rischio.

Quali interventi effettuare sul sistema organizzativo

Uno dei principi maggiormente legati al testo di matrice comunitaria è quello di accountability o “responsabilizzazione” che si declina nel favorire l’adozione di determinati comportamenti volti a palesare la concreta attuazione di misure finalizzate ad assicurare la completa applicazione del regolamento, la novità è data dal fatto che in detto modo si lascia, de facto, “carta bianca” ai titolari circa la concreta adozione delle misure e dei modelli.

Nella locuzione “rischio inerente al trattamento” si vanno a ricomprendere tutti gli impatti negativi sulle libertà e i diritti degli interessati, impatti che necessiteranno di una approfondita analisi e di un idoneo processo di valutazione i quali dovranno essere effettuati prendendo in esame: i rischi noti o riscontrabili e le misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per temperare il verificarsi di detti rischi.

Per quel che concerne la sicurezza del trattamento dovranno necessariamente essere tenuti in debita considerazione determinati aspetti, quali:

  • disponibilità: dovranno pertanto essere adottate apposite misure per prevenire l’eventuale perdita, distruzione o indisponibilità dei dati
  • integrità: nell’accezione di prevenzione di possibili alterazioni dei dati medesimi
  • riservatezza: la divulgazione e l’accesso dovranno rispettare le disposizioni di cui al regolamento comunitario

Nel rispetto del principio di accountability le misure per la gestione del rischio dovranno prevedere e considerare una serie di profili, chi scrive si riferisce schematicamente nel concreto a:

  • misure organizzative: dovranno essere ben definiti i ruoli, la governance societaria, dovranno essere impartite efficaci istruzioni al personale il quale dovrà altresì essere formato attraverso appositi seminari e corsi, dovranno essere adeguatamente predisposti efficaci practice di audit nonché consolidati gli strumenti di controllo
  • misure tecnologiche: policy di sicurezza logiche e fisiche, continui aggiornamenti di software e servizi, test, continuo monitoraggio degli accessi e tracciamento delle operazioni
  • qualità dei dati
  • cifratura
  • conservazione adeguata
  • anonimizzazione dei dati.

Uno degli aspetti che maggiormente dovrebbero essere implementati attiene alla data governance o governance dei dati.

Con tale termine, il quale occorre sin da subito precisare va tenuto distinto dalla mera gestione dei dati, si intende un insieme di practice, policy, definizioni di ruolo nell’assetto societario, nei processi e nelle misure che hanno il precipuo di fine di garantire una certa efficienza ed efficacia nell’utilizzo dei dati, un concetto di data management che permette di assicurare un’alta qualità dei dati stessi durante tutto il ciclo di vita aziendale.

La governance dei dati comprende le persone, i processi e la tecnologia informatica necessari per creare una gestione coerente e corretta dei dati di un’organizzazione in tutta l’azienda. Fornisce a tutte le pratiche di gestione dei dati le basi, la strategia e la struttura necessarie per garantire che i dati vengano gestiti come una risorsa e trasformati in informazioni significative.

Tale strategia costituirà la base del framework di governance dei dati dell’azienda.

Gli obiettivi possono essere definiti a tutti i livelli dell’impresa e ciò può aiutare nell’accettazione dei processi da parte di coloro che li useranno, tra gli obiettivi che si mira a raggiungere con detta strategia figurano:

  • l’accrescimento di coerenza e fiducia nel processo decisionale
  • la riduzione del rischio di sanzioni
  • ll miglioramento del livello di sicurezza dei dati, anche definendo e verificando i requisiti per le politiche di distribuzione dei dati
  • la massimizzazione del potenziale di profitto correlato a una equa gestione dei dati stessi
  • la responsabilizzazione per quel che attiene la qualità delle informazioni
  • ll consentire una migliore pianificazione da parte del personale di vigilanza
  • la riduzione al minimo o eliminazione di rilavorazioni dei dati
  • l’ottimizzazione dell’efficacia del personale
  • la fissazione delle basi di prestazione del processo di modo da consentire un miglioramento.

Questi obiettivi sono per l’appunto realizzabili attraverso l’implementazione di programmi di governance dei dati o iniziative che utilizzano tecniche di Change management.

Quando le aziende desiderano o sono obbligate a ottenere il controllo dei propri dati, autorizzano le persone, impostano i processi e si servono della tecnologia per farlo.

La governance dei dati è, in buona sostanza, una vera e propria disciplina di controllo di qualità per la valutazione, la gestione, l’utilizzo, il miglioramento, il monitoraggio, la manutenzione e la protezione delle informazioni organizzative, un vero e proprio sistema che afferisce diritti decisionali e responsabilità per i processi relativi alle informazioni, eseguiti secondo modelli concordati che descrivono e prescrivono chi possa intraprendere quali azioni, con quali informazioni , quando e in quali circostanze, usando quali metodi.

In secondo luogo, è altamente consigliata la costituzione di un apposito team con il precipuo scopo di monitorare e gestire situazione afferenti al tema data protection, detto team dovrà altresì occuparsi della c.d. DPIA (Data Protection Impact Assessment) ovvero la “valutazione di impatto del trattamento”, onere esplicitamente posto in carico al titolare del trattamento dall’art. 35 GDPR, uno strumento finalizzato a potenziare la trasparenza e la protezione durante le fasi di trattamento dei dati personali.

Nel concreto il documento, il quale deve essere predisposto prima che il trattamento venga in essere, mira a enucleare quelle che potenzialmente potrebbero essere le conseguenze in relazione alle libertà e ai diritti dei soggetti interessati affinché il titolare possa effettuare una valutazione circa le possibili ricadute sul piano dei rischi in caso di presenza dei quali dovrà altresì predisporre misure specifiche richieste per eliminarli o attenuarli.

Nel caso in cui le medesime non dovessero essere identificate occorrerà l’intervento dell’Autorità di controllo.

La prevenzione di situazioni integranti gli estremi di un data breach attiene inoltre alla combinazione di altri fattori strettamente correlati tra loro:

  • l’adozione di practice di risposta alle violazioni
  • il costante monitoraggio delle attività e dei rischi connessi alle stesse
  • la costante formazione dei dipendenti così come previsto dal regolamento nonché una precisa, chiara e confacente continuità di istruzione da impartire al personale
  • la tenuta di un registro delle attività nonché di un registro apposito per i casi di data breach verificatisi di modo che si possa valutare la bontà delle scelte operate per quel che concerne la governance societaria, i protocolli adottati, la tempestività di risposta dell’azienda al verificarsi di simili situazioni e ovviamente anche affinché si possano prevenire avvenimenti della stessa o di similare natura.

Conclusioni

È dunque naturale la presenza di un workflow solido, adeguato, dinamico, ben strutturato, costantemente aggiornato, revisionato che possa agevolare l’attività d’impresa a eliminare perlomeno quei rischi prevedibili connaturati all’attività imprenditoriale, un sistema che deve prevedere una durevole collaborazione di tutti i soggetti e i bodies affinché il flusso di informazioni costante possa agevolare una prontezza e facilità di risposta.

@RIPRODUZIONE RISERVATA
B
Nicolò Ballarini
dottore in Giurisprudenza Università degli Studi di Trento, master in “consulenza legale d’impresa” Luiss Business School
Argomenti trattati

Approfondimenti

D
data breach
G
GDPR
R
risk management

Articolo 1 di 5