Tempo di lettura stimato: 6'
Parliamo di gestione del Data Breach e di come l’Autorità Garante approccia la violazione dei dati. È dal 2018 che non va bene far finta di niente: se c’è una violazione le cose devono essere gestite consapevolmente. Non è che se succede qualcosa uno si blocca – adotta la strategia dell’opossum – e poi il problema passa. La consapevolezza – accountability - è uno dei concetti cardine che bisogna avere.
Ne ho parlato in un LIVE di Raise Academy, l’Accademia formazione efficace di PrivacyLab, con il Dottor Giuseppe Giuliano, Funzionario del Dipartimento Attività Ispettive del Garante per la protezione dei dati personali.
Qui trovi solo un estratto, l’intervista LIVE completa è sulla Raise!
Data Breach e trasparenza: non nascondere la polvere sotto al tappeto
Andrea Chiozzi: Tenendo presente che chi non fa non sbaglia e chi fa potrebbe sbagliare. Quali buoni consigli ha da darci?
Dottor Giuliano: Chi lavora sbaglia naturalmente, l’importante è non nascondere gli sbagli ed essere trasparenti al massimo. Perché, quando succede qualcosa, in questo caso un Data Breach, in un modo o nell’altro la voce gira, magari c’è una segnalazione, una notizia sulla stampa. Nascondere peggiora la situazione. Uno dei principi cardine nell’applicazione delle sanzioni è la trasparenza e il rispetto reciproco. A volte capita di intervenire per un Data Breach e ti accorgi che non è il primo, ma non avendolo comunicato prima, non si fa altro che peggiorare le cose.
La notifica al Garante non deve essere vista come un’autodenuncia. Non è assolutamente un'autodenuncia. Nella maggior parte dei casi, dove l'Autorità ritiene che le misure implementate fossero idonee rispetto ai dati trattati, archivia. Non è assolutamente un problema. Non bisogna preoccuparsi di notificare “perché altrimenti si prende la sanzione”. Naturalmente può capitare di prenderla, se non sono state fatte le cose che andavano fatte, se non sono stati rispettati gli articoli del Regolamento. Sono cose che però si dovevano fare già prima della violazione e anche in questo caso, essere corretti e trasparenti aiuta.
La notifica al Garante non deve essere vista come un’autodenuncia. Non è assolutamente un'autodenuncia. Nella maggior parte dei casi, dove l'Autorità ritiene che le misure implementate fossero idonee rispetto ai dati trattati, archivia. Non è assolutamente un problema. Non bisogna preoccuparsi di notificare “perché altrimenti si prende la sanzione”. Naturalmente può capitare di prenderla, se non sono state fatte le cose che andavano fatte, se non sono stati rispettati gli articoli del Regolamento. Sono cose che però si dovevano fare già prima della violazione e anche in questo caso, essere corretti e trasparenti aiuta.
Cos’è un Data Breach
Dottor Giuliano: Il Data Breach, ce lo spiega il Regolamento stesso, è un qualsiasi evento che può manifestarsi a seguito di un malfunzionamento hardware e software, di un attacco informatico o di un comportamento umano doloso o accidentale. È una violazione di sicurezza che coinvolge i dati personali, in seguito alla quale il titolare del trattamento non è più in grado di garantire l’osservanza dei principi relativi al trattamento di dati personali previsti dal Regolamento.
Mi soffermo su un punto: il comportamento umano doloso o accidentale. Si parte dal presupposto che tutti i dipendenti siano leali e corretti verso il proprio datore di lavoro e che siano formati, perché sappiano come comportarsi. Però non è detto che sia così. Quindi vanno implementate le misure per evitare che un dipendente si porti via tutti i dati. Perché il Data Breach può essere un attacco esterno, ma anche interno: il dipendente, che è autorizzato ad accedere a quei dati, se li porta via.
Un altro punto importante: il titolare non è in grado di garantire i diritti degli interessati. In alcuni casi non abbiamo trovato un backup. Oggi non è possibile non avere un backup. Se c’è un Data Breach e non hai un backup, quei dati li hai persi. Non solo, quei dati potrebbero essere il core business dell’azienda. Parliamo di clienti e fornitori. Se perdo i dati, come faccio a ricontattarli?
Andrea Chiozzi: Cosa può comportare una violazione dei dati?
Dottor Giuliano: Lo troviamo nei Considerando. Se la violazione non è affrontata nel modo adeguato e tempestivo, può provocare danni fisici, materiali o immateriali alle persone fisiche. Per esempio: una perdita di controllo sui dati, la limitazione dei diritti, una discriminazione, un furto o l’usurpazione dell'identità, perdite finanziarie, un pregiudizio alla reputazione, una decifratura non autorizzata della pseudonimizzazione, la perdita della riservatezza di dati protetti da segreto professionale. Per esempio, ho un e-commerce dove conservo i dati della carta di credito e i codici di sicurezza delle carte. Se c’è un Data Breach su quei dati, chi li vede può spendere finché vuole.
Andrea Chiozzi: Come si gestisce un Data Breach?
Dottor Giuliano: Il Regolamento stabilisce una serie di adempimenti che un titolare del trattamento è chiamato a compiere in seguito a un Data Breach, anche subordinando i propri interessi economici e di immagine alla tutela dei dati personali degli interessati. La gestione della violazione si sviluppa in 4 fasi:
1 - Rilevamento del Data Breach
2 - Contenimento del Data Breach
3 - Valutazione del rischio
4 – Notifica al Garante ed eventualmente anche la comunicazione agli interessati
Cosa essenziale, in qualsiasi caso, è la documentazione del Data Breach. Bisogna indicare tutto compresa la valutazione: è successo questo, le misure implementate sono queste, ho valutato che non c'è stata una violazione che ha comportato rischi per le libertà degli interessati e quindi non l’ho notificata. Oppure vedo che non si tratta di una violazione, ma decido comunque di adottare misure più stringenti e le documento.
Andrea Chiozzi: Se sono nelle condizioni in cui devo comunicare agli interessati che c’è stata una violazione - perché comporta un rischio elevato per le libertà e i diritti delle persone - è chiaro che devo fare anche la notifica al Garante, non solo agli interessati, vero?
Dottor Giuliano: Esatto. Questo deve essere chiaro. Non esiste che venga fatta la comunicazione agli interessati, senza che venga fatta la notifica anche al Garante. Significa che il rischio è elevato e quindi devo assolutamente fare la notifica al Garante entro 72 ore. Bisogna fare attenzione e non nascondere il Data Breach in un primo momento perché, se l’autorità si accorge che il titolare del trattamento aveva avuto notizie anche prima della violazione, non c’è trasparenza. Spesso si teme di non riuscire a scrivere tutto entro le 72 ore. Non è importante che nella prima notifica si scriva tutto. Posso fare una notifica preliminare e poi integrare successivamente. L’importante è non nascondere. È essere chiari e trasparenti.
Andrea Chiozzi: Se hai fatto la denuncia alla Polizia Postale, la notifica al Garante la devi fare?
Dottor Giuliano: Certo. La notifica all’Autorità Garante deve essere fatta e l’Autorità deve sapere che è stata fatta la denuncia. Inoltre, l’Autorità stessa potrebbe fare la comunicazione alla Polizia postale e alla Procura della Repubblica, quindi serve anche per evitare delle duplicazioni del procedimento.
Il registro dei Data Breach: le violazioni vanno documentate tutte
Andrea Chiozzi: Serve un registro dei Data Breach per capire cosa sta succedendo in azienda. Le violazioni vanno documentate tutte. Deve essere evidente e documentato il processo. La documentazione non parte solo dalla notifica.
Dottor Giuliano: Io come faccio a documentare che ho subìto un Data Breach? Documentare serve anche al titolare del trattamento perché, se si verifica una violazione in un secondo momento, può valutare se internamente c’è qualcosa che non quadra. Ed è capitato. Spesso la documentazione del primo Data Breach ha permesso di capire che c’era stato qualcosa. Per esempio, è un caso limite, l’azienda che ha fatto tutto per bene ma si è dimenticata di impostare l’aggiornamento della password. Se un dipendente lascia l’azienda e ha la password, che non è cambiata, può ancora accedere ai dati aziendali, è un problema.
Violazione dei dati: cosa fare e cosa non fare
Dottor Giuliano: Concludo elencando 10 regole per gestire un Data Breach. Ci sono 5 cose da fare e 5 da non fare.
Le 5 cose da fare sono:
1 - Quando si individuano le misure per la sicurezza di un trattamento, bisogna considerare i rischi che potrebbero derivare da un eventuale Data Breach.
2 – Effettuare periodicamente un Vulnerability Assessment e patching dei sistemi.
3 – Trasformare gli utenti da anello debole della catena a prima linea di difesa, incoraggiandoli a segnalare situazioni anomale.
4 - Documentare tutti i ragionamenti che sono alla base delle decisioni prese, in risposta a un Data Breach.
5 – Imparare dagli errori propri e dagli altri.
Le 5 cose da non fare:
1 – Non aspettare che si verifichi un Data Breach per predisporre procedure efficaci per gestirlo.
2 – Non notificare al Garante tutti i Bata Breach, ma solo quelli che presentano rischi per i diritti e le libertà degli interessati.
3 – Quando si verifica una violazione non pensare agli impatti per il business, ma piuttosto ai possibili effetti negativi per gli interessati.
4 – Non sottovalutare i rischi derivanti da una violazione.
5 – Non vedere la comunicazione di un Data Breach agli interessati come un’ammissione di colpa, ma piuttosto come uno strumento di trasparenza nei loro confronti.
Articolo tratto dall’intervento del Dottor Giuseppe Giuliano su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.