Casi pratici

Il Data Breach o violazione di dati personali

Il data breach nella normativa

di Francesca De Luca

la QUESTIONE
Cosa si intende per "data breach"? Come si previene e, qualora si verifichi, come deve essere gestito? Qual è il più recente orientamento del Garante per la Protezione dei Dati Personali italiano e quello degli altri Garanti Privacy europei?

Il termine "data breach", letteralmente, in italiano significa "violazione di dati personali".
Il Regolamento Generale per la Protezione dei Dati Personali, Reg. UE n. 679/2016 (comunemente detto "GDPR"), all'art. 33 rubricato «Notifica di una violazione dei dati personali all'autorità di controllo» dispone che, in caso di violazione dei dati personali, il titolare del trattamento debba notificare la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. La notifica al Garante Privacy deve avere almeno i seguenti contenuti:

- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali coinvolti;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
Qualora vittima di data breach sia non il titolare, bensì il responsabile del trattamento, quest'ultimo sarà tenuto ad informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione, fornendo, ove di sua competenza, le informazioni sopra elencate.
Il titolare del trattamento è tenuto a documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Il successivo art. 34 del GDPR prevede poi che, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento debba comunicare la violazione anche agli interessati senza ingiustificato ritardo, al fine di consentire a questi ultimi di adottare eventuali accorgimenti per limitare i danni che possano derivare dal data breach.

Il data breach nelle Linee Guida n. 1/2021 dell'EDPB
Alla disciplina normativa del data breach, si sono affiancate le Linee Guida emanata dallo European Data Protection Board (EDPB) che, a seguito di consultazione pubblica, ha emanato le Linee Guida n. 1/2021, volte a fornire esempi concreti di violazioni di dati personali, con lo scopo di dare indicazioni pratiche dettagliate a Titolari e Responsabili del trattamento per:

- riconoscere un data breach;
- valutarne cause, portata e gravità;
- comprendere se è necessario segnalare la violazione alla competente Autorità di controllo e se è, altresì, necessario notificarla agli interessati, i cui dati sono stati oggetto di violazione;
identificare le azioni e le misure correttive da adottare in presenza di data breach.

L'EDPB specifica che per data breach, ai sensi dell'art. 4 del GDPR, si intende "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati".
Una violazione può avere potenzialmente numerosi effetti negativi significativi sulle persone fisiche, che possono causare danni fisici, materiali o immateriali. Il GDPR spiega che ciò può includere la perdita del controllo da parte degli interessati sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l'usurpazione d'identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale, nonché qualsiasi altro danno economico o sociale significativo per le persone fisiche interessate.

Le macroaree di "data breach" individuate dall'EDPB
Delineato il contesto normativo di riferimento all'interno del quale si colloca il data breach, l'EDPB procede all'individuazione di sei differenti macroaree, idonee allo sviluppo di esempi pratici comprensivi altresì delle azioni migliorative e mitigative che i titolari e/o i responsabili, sub-responsabili devono assumere nell'affrontare le violazioni di dati personali. Tali macroaree sono:

Per completezza, si segnala che si è da poco conclusa la consultazione pubblica sulla bozza aggiornata del testo delle Linee Guida dell'EDPB sul data breach. È quindi in arrivo un ulteriore aggiornamento, che riguarderà principalmente gli obblighi di notifica dei data breach da parte di enti con sede al di fuori dell'Unione Europea.

Come prevenire un data breach?
Per poter efficacemente prevenire una violazione di dati personali, è importante che i titolari adottino idonee misure tecnico-organizzative, effettuino l'analisi dei rischi, tenuto conto della realtà aziendale e del core business, adottino un piano di azione e di business continuity, svolgano un monitoraggio costante delle attività e dei sistemi aziendali, eroghino training e formazione, facciano audit con cadenza regolare, mettano in piedi sistemi di controllo dei log, stipulino apposite polizze assicurative per assicurare i rischi.
L'EDPB, nelle sue linee guida, suggerisce una serie di misure tecnico-organizzative per prevenire che si verifichino (o ri-verifichino) violazioni di dati personali, specificando che, naturalmente, l'elenco non è esaustivo né tassativo, ma è volto piuttosto a fornire suggerimenti di prevenzione e possibili soluzioni. Di seguito le misure suggerite nelle Linee Guida n. 1/2021:

 Mantenere aggiornato il firmware, il sistema operativo e il software applicativo sui server, sui client, sui componenti attivi di rete e su ogni altra macchina presente sulla stessa LAN (compresi i dispositivi Wi-Fi).
 Garantire l'esistenza di adeguate misure di sicurezza informatica, accertarne l'efficacia e mantenerle regolarmente aggiornate quando il trattamento o le circostanze cambiano o evolvono. Ciò comprende la conservazione di log dettagliati delle patch applicate e della rispettiva marcatura temporale.
 Progettazione e organizzazione di sistemi e infrastrutture di trattamento in modo da segmentare o isolare sistemi e reti di dati per evitare la propagazione di software malevolo all'interno dell'organizzazione e verso sistemi esterni.
 Esistenza di una procedura di backup aggiornata, sicura e testata. I mezzi di supporto per il back-up a medio e lungo termine dovrebbero essere tenuti separati dalla conservazione dei dati operativi e fuori dalla portata di soggetti terzi anche in caso di attacco riuscito (per esempio, un backup incrementale giornaliero e un backup settimanale completo).
 Disporre di/procurarsi un software anti-malware adeguato, aggiornato, efficace e integrato.
 Disporre di un firewall e sistemi per il rilevamento e la prevenzione delle intrusioni adeguati, aggiornati, efficaci e integrati. Instradare il traffico di rete attraverso il firewall/il sistema rilevamento intrusioni, anche in caso di lavoro agile o in mobilità (ad esempio utilizzando connessioni VPN dotate di meccanismi organizzativi di sicurezza per l'accesso a Internet).
 Formazione dei dipendenti sui metodi di riconoscimento e prevenzione degli attacchi informatici. Il titolare del trattamento dovrebbe fornire gli strumenti per stabilire se le e-mail e i messaggi ottenuti con altri mezzi di comunicazione siano autentici e affidabili. I dipendenti dovrebbero essere formati per riconoscere quando si verifica un attacco del genere, sapere come rimuovere dalla rete l'endpoint (ovvero ogni dispositivo che si collega con la rete aziendale, anche da remoto, come personal computer, laptop, dispositivi mobili e connessi) ed essere tenuti a segnalarlo immediatamente al responsabile della sicurezza.
 Sottolineare la necessità di individuare il tipo di codice malevolo per comprendere le conseguenze dell'attacco ed essere in grado di individuare le misure giuste per attenuare il rischio. Nel caso in cui un attacco ransomware abbia avuto successo e non sia disponibile alcun back-up, per recuperare i dati possono essere utilizzati strumenti come quelli del progetto "no more ransom" (nomoreransom.org).

Tuttavia, nel caso in cui sia disponibile un backup sicuro, è consigliabile ripristinare i dati attraverso il backup.

 Inoltrare o replicare tutti i log a un server centrale (compresa eventualmente la marcatura temporale crittografica o la firma delle registrazioni dei log).
 Cifratura robusta e autenticazione a più fattori, in particolare per l'accesso amministrativo ai sistemi informatici, adeguata gestione delle chiavi e delle password.
 Test di vulnerabilità e di penetrazione a cadenze regolari.
 Istituire un gruppo di risposta agli incidenti di sicurezza (CSIRT) o un gruppo di risposta alle emergenze informatiche (CERT) all'interno dell'organizzazione o aderire a un CSIRT/CERT collettivo.
 Creare un piano di risposta agli incidenti, un piano di disaster recovery (ripristino in caso di evento catastrofico) e un piano di continuità operativa e assicurarsi che tali piani siano testati in modo approfondito.
 Nel valutare le contromisure, si dovrebbe riesaminare, testare e aggiornare l'analisi dei rischi.
 Erogare training e formazione al personale aziendale, per istruire adeguatamente dipendenti e collaboratori su come utilizzare in sicurezza i sistemi informativi e su come trattare i dati personali, in compliance con la normativa applicabile, i provvedimenti dei Garanti Privacy e dell'EDPB, al fine di creare all'interno dell'azienda un livello di formazione e consapevolezza adeguati tra le persone autorizzate al trattamento.
 Adottare una policy aziendale ad hoc che stabilisca regole e ruoli aziendali nella gestione di un data breach (ad es. che stabilisca un processo di segnalazione specifico al soggetto / team designato per la procedura di data breach).
 Responsabilizzazione dei responsabili del trattamento, attraverso idonee previsioni contrattuali che lo vincolino a segnalare e inviare resoconto dettagliato di eventuali data breach dovesse subire, con impatto dui dati del titolare.

Come deve essere gestito un data breach?
Qualora si verifichi un data breach, il titolare del trattamento (o il responsabile o il sub-responsabile) dovranno, per prima cosa, interrogarsi sulle cause che hanno reso possibile la violazione di dati, verificando se siano ancora presenti o meno, al fine di evitare che la stessa violazione possa ripresentarsi in futuro, in compliance con i principi di privacy by design e di accountability introdotti dal GDPR.
Solo seguendo tale iter, sarà possibile individuare il "data breach" e procedere alla valutazione dei rischi concreti per i diritti e le libertà dei soggetti interessati, maturando, dunque, in presenza dei presupposti previsti dal GDPR, la decisione di procedere alla notifica all'autorità di controllo, ex art. 33 del Regolamento e, eventualmente, alla comunicazione nei confronti degli interessati.
Inoltre, il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l'impatto.
Una volta individuata la "falla" che ha permesso il data breach, l'ente vittima dello stesso dovrà adottare misure tecniche e organizzative adeguate a prevenire il verificarsi di un evento analogo.

Come segnalare un data breach al Garante per la Protezione dei Dati Personali (Garante Privacy italiano)?
Il Garante Privacy italiano ha messo a disposizione dei titolari uno strumento che consente l'autovalutazione del data breach e della necessità di procedere o meno alla notifica dell'incidente, disponibile al seguente link: https://servizi.gpdp.it/databreach/s/.
Attraverso questo tool, i titolari possono autovalutare la necessità di notificare il data breach e, in caso affermativo, procedere direttamente con la notifica al Garante, attraverso la compilazione dell'apposito modulo messo a disposizione.
6)Quali sono le conseguenze legali per la mancata segnalazione di un data breach?
In caso di mancata segnalazione di un data breach che avrebbe dovuto essere, invece, notificato al Garante competente, il titolare può vedersi applicata una sanzione pecuniaria che può arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo dell'intero gruppo (anche se multinazionale).

Registro dei data breach
In ottemperanza al principio di accountability, il titolare del trattamento è tenuto a documentare tutte le violazioni di dati personali subìte, a prescindere dal fatto che le stesse siano state dalla notifica al Garante. Qualora il titolare abbia ritenuto di non procedere con la notifica della violazione al Garante, è opportuno tener traccia del percorso decisionale e delle motivazioni che hanno condotto a tale determinazione.
Una delle possibili soluzioni pratiche per documentare i data breach, è adottare un apposito registro.

Su TOP PLUS DIRITTO 24
La selezione giurisprudenziale del Garante per la Protezione dei Dati Personali (GPDP) italiano
La selezione di provvedimenti sanzionatori di Garanti Privacy di altri paesi europei

Correlati

Francesca De Luca

Questioni Risolte

Gli ultimi contenuti di Casi pratici