Le violazioni vanno gestite seguendo le indicazioni del Regolamento Europeo 16/679 (GDPR) che ci dice come dobbiamo comportarci se si verifica un Data Breach, però prima bisogna sapere cos’è un Data Breach.
È da qui che dobbiamo partire, perché magari c’è stato un incidente, è capitato qualcosa, ma non è detto che sia una violazione dei dati personali.
C’è stato un incidente: è una violazione?
2. Copia non autorizzata
5. Perdita d’accesso
- l’accesso non autorizzato diventa spionaggio;
- la copia non autorizzata si chiama furto;
- la divulgazione non prevista si chiama diffusione;
- la modifica non autorizzata diventa una compromissione, per esempio: un hacker entra nell’area riservata del portale web dell'azienda, dove ogni cliente ha nome, cognome e link al sito aziendale, e cambia tutti i link sostituendoli con www.youporn.com così, chi clicca, finisce su YouPorn;
- la perdita d’accesso diventa una cifratura, per esempio: infetto volontariamente con il CryptoLocker il computer che contiene tutti i dati personali dei dipendenti;
- la cancellazione diventa distruzione volontaria.
Come si gestisce una violazione dei dati personali?
- l’articolo 33 riguarda la gestione interna dell’azienda e la gestione dei rapporti con il Garante;
- l’articolo 34 riguarda la gestione con gli interessati, cioè con le persone di cui abbiamo i dati personali.
Il Data Breach va sempre registrato e se è il caso va notificato al Garante (articolo 33)
Al punto 2 ci dice che i responsabili del trattamento – lo studio paghe, il commercialista, chi gestisce il software… -, in caso di violazione, non notificano al Garante, ma al titolare del trattamento.
Al punto 3 dice che, se decidi di notificare, il Garante ha bisogno di determinate informazioni: natura della violazione, l’ammontare approssimativo del numero di persone interessate, dati di contatto del responsabile della protezione dei dati, possibili conseguenze della violazione, misure adottate.
Al punto 4 dice che se non è possibile dare tutte le informazioni importanti subito, si possono fornire in fasi successive.
Al punto 5 dice che comunque bisogna documentare qualsiasi violazione, sia di tipo 1 (violazione che non presenta un rischio per i diritti e le libertà delle persone) che di tipo 2 (violazione che presenta un rischio per i diritti e le libertà delle persone): in sostanza che bisogna essere accountable, dimostrare accountability.
Essere accountable: cosa significa accountability
E come faccio a testimoniare la mia accountability? Fornendo delle prove.
Il titolare del trattamento deve essere in grado di produrre una serie di evidenze, tese a dimostrare che è competente, che è stato responsabile e che riesce a tenere in mano le redini del processo. Non è un pilota in balìa delle onde, che guida un motoscafo troppo potente e non lo sa gestire. Ha la patente nautica, ha la capacità e il know-how per affrontare il tipo di mare in cui sta navigando e lo dimostra col suo GPS, con i suoi strumenti, perché ha partecipato a 50 regate... Dimostra la sua capacità, fornendo prove, documentali o meno.
Per essere accountable, il titolare del trattamento deve documentare qualsiasi violazione nel registro, comprese le circostanze relative, le sue conseguenze, i provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante di verificare il rispetto del protocollo.
Perdi la chiavetta USB? Lo documenti.
L'antispam diffonde i dati dei tuoi clienti in rete? Lo documenti.
Hai preso il CryptoLocker? Lo documenti.
Perché il problema non è dichiarare la violazione. Se la dichiari non prendi la multa, la prendi per altri motivi!
Se l’azienda non prova l'accountability, lì sì che arriva la sanzione.
Quali violazioni comunicare al Garante?
Mica tutte. Vanno comunicate solo le violazioni di tipo 2: quelle che presentano un rischio per i diritti e le libertà delle persone. Ma come si definiscono? Come si calcolano? Chi lo decide che quella violazione ha un rischio alto? In Italia siamo nell’ambito del diritto romano. Siamo abituati ad avere il bastone: se fai così sei a posto. Con il Regolamento è tutto alla rovescia: è il titolare del trattamento che decide se notificare o no, poi il Garante verificherà, in una logica di accountability, se ha dato le evidenze corrette.
Per questo esistono delle metodologie.
L’ENISA (The European Union Agency for Cybersecurity) ha creato una metodologia per calcolare il rischio sulla libertà delle persone a fronte di una violazione. Questa metodologia si può applicare anche in azienda - noi l'abbiamo integrata nel software di PrivacyLab per rendere rapida, efficiente e veloce la gestione del Data Breach – e l’uso di questa metodologia aiuta a testimoniare il processo di accountability.
Quindi, se di fronte ad una violazione, il Garante chiede al titolare del trattamento: “Come hai fatto a decidere di non comunicare questa violazione?”
Il titolare può rispondere: “Ho documentato la violazione nel mio registro, ho preso le contromisure e ho verificato. Non ho notificato la violazione perché ho utilizzato un protocollo condiviso anche a livello europeo, da cui è emerso che il rischio per la libertà delle persone era basso. Non lo dico io. Lo dice uno strumento certificato.”
Perché non basta dire “Ho visto che era un rischio basso per i diritti delle persone e ho deciso che non dovevo comunicarlo.” Come lo provi? Si fa fatica a rendere testimoniabile questa cosa.
Non bisogna cadere nella tentazione di dire “secondo me questa misura è adeguata" perché non lo sai tu - titolare - non lo sa il Garante, non lo so io... non lo sa nessuno. La legge dice "Dammi evidenza di aver fatto il possibile" e solo applicando la procedura di gestione del Data Breach, in ottica di accountability, riesci a testimoniare il fatto di essere conforme al Regolamento.
Il Data Breach ha un rischio alto: va notificato al Garante
Se risulta che la violazione presenta un rischio alto, va notificata al Garante entro 72 ore e senza ulteriori ritardi. Va compilato un documento che descrive cosa è successo, quali sono state le conseguenze, quali misure sono state adottate e quelle che verranno adottate. La notifica viene poi spedita via PEC al Garante.
Punto.
Questa è la procedura per la notifica del Data Beach, ma il problema è quello che succede prima: l’azienda come fa a sapere che c’è stata una violazione?
Come sapere che c’è stata una violazione? Grazie ad un workflow intelligente e alla formazione
Come faccio a sapere di aver perso una chiavetta USB con i dati personali dei clienti? Come faccio a sapere che qualcuno ha preso le informazioni degli utenti dal sito internet della mia azienda? Perché arriva una segnalazione, e visto che un’azienda normale di segnalazioni ne avrà diverse durante l'anno, senza un workflow intelligente, un metodo agile per gestire e raccogliere le segnalazioni, si va ad imbarcare in un processo di gestione fine a sé stesso: riceve la mail, la mette nel CRM, la spedisce al responsabile del CED, aspetta la PEC… Ha bisogno di un sistema forte, semplice e veloce, perché ogni volta che si perde una chiavetta USB non serva un ingegnere termonucleare che impiega 4 ore a fare calcoli per stimare il rischio.
Diventa un problema organizzativo. Diventa un costo.
E serve la formazione.
Se non spiego cos'è una violazione agli addetti, anche se lascio il modulo per segnalare il Data Breach, l'addetto non metterà mai dentro niente, perché ha paura, perché se perde i dati magari rischia pure una nota di demerito. Io devo formare gli addetti e i responsabili esterni, devono sapere che cos'è una violazione, e segnalarla. La formazione è semplice. Ci vogliono 20 minuti.
Quando comunicare la violazione dei dati personali agli interessati (articolo 34)
Il danno reputazionale mi spaventa molto di più della sanzione.
In PrivacyLab abbiamo avuto alcuni esempi di questo tipo. Casi di grandi aziende di consulenza sulla sicurezza che, piuttosto che comunicare agli interessati che c'era stato un disastro con i dati in loro possesso, facevano tagliare la prima falange del dito dell'amministratore delegato!
Il danno alla reputazione potrebbe essere maggiore della possibile multa.
Come gestire la comunicazione agli interessati?
1. Ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure vengono applicate ai dati personali. Se il titolare riesce a testimoniare questa cosa, registra la violazione, la comunica al Garante e può non comunicare nulla all'interessato. Ma deve dare evidenza di essere accountable.
3. Detta comunicazione si può non fare, se richiede uno sforzo sproporzionato. Ma se richiede uno sforzo sproporzionato, va dichiarata pubblicamente. Quindi il Garante dirà “Mettiti su internet e fatti un bel video in cui dici a tutti "Signori, sono stato un coglionazzo." Così dai evidenza pubblica del fatto che hai sbagliato. Magari cerchiamo di evitare questa cosa… Ma come? Facendo attività preventiva.
Evito il danno alla reputazione se riesco a rendere testimoniabile, a fronte di un privacy-by-design che mi abbia dato un rischio residuale basso sul trattamento oggetto della violazione, della DPIA e di rischi residuali bassi e certificati, che ho fatto tutto il possibile.
Perché le violazioni succedono, a prescindere da quanto sono stato bravo.
Per concludere: il processo di gestione del Data Breach in 4 punti
La procedura di gestione del Data Breach tocca 4 punti:
1 - Formazione
Formo addetti e responsabili esterni.
2 - Registrazione
Documento tutte le violazioni.
3 - Valutazione
Valuto il tipo di violazione (tipo 1 o tipo 2) e quindi capisco se devo anche notificare alle autorità e agli interessati.
4 - Registro
Documento tutto quello che è successo, cosa ho fatto e cosa farò.
Ti è stata segnalata una violazione.
Chiediti: è davvero una violazione?
Risposta: no. Allora non bisogna fare nulla.
Risposta: sì. Devi approfondire.
Chiediti: è una violazione che lede i diritti e le libertà delle persone fisiche?
Risposta: no. Allora documenta l’incidente nel registro dei trattamenti come violazione di tipo 1.
Risposta: sì. Allora la violazione va notificata alle autorità e registrata come violazione di tipo 2.
