PC con segnale di pericolo sullo schermo per possibile Data Breach

LPD: PROCEDURA DATA BREACH

Tutto ciò che è necessario sapere sul Data Breach, come evitarlo e come agire nel caso di un cyber attack.

In questo articolo analizzeremo la tematica relativa alla violazione dei dati personali nei confronti dei soggetti interessati al trattamento, verrà presentata una panoramica di cosa sia effettivamente un data breach, di come vengano gestite le violazioni in relazione alla legge sulla protezione dati in Svizzera (LPD) e in rapporto al GDPR.

 

E nello specifico:

  1. Data breach, introduzione al tema
  2. LPD, come vengono gestite le violazioni
  3. LPD, tutti gli strumenti idonei a prevenire la violazione
  4. LPD, uno sguardo al GDPR in ottica di data breach

1. DATA BREACH, INTRODUZIONE AL TEMA

Se volessimo dare una definizione chiara di cosa sia effettivamente un data breach, potremmo definirlo come “un incidente nella sicurezza durante il quale si assiste all’accesso a delle informazioni senza autorizzazione”.

Come nel caso delle maggiori piattaforme e nei principali social network, le informazioni di persone, aziende o altre organizzazioni, vengono rese pubbliche senza il consenso degli stessi utenti.

Come si vede dalla definizione, non è necessario che la violazione avvenga necessariamente tramite un cyber-attacco.

Spesso accade che il data breach si verifichi per l’incauto utilizzo dei dati da parte ad esempio delle app di terze parti o di soggetti comunque terzi e non tanto per l’intento doloso dei criminali del web.

Detto questo, secondo un report IBM security sul cost of data breach, dati alla mano, dietro queste violazioni c’è molto spesso la mano di hacker interessati alle informazioni riservate.

Il 51% delle violazioni di dati avvenute finora nel 2019, secondo l’azienda, proviene proprio da cyber-attacchi.

Nel 2014 la percentuale si fermava al 21 per cento.

La restante parte è causata invece da errori umani e da errori (glitch) dei sistemi.

Quando si verifica una violazione o un accesso ai dati non autorizzato, vengono colpiti innanzitutto gli utenti, le cui informazioni talvolta sensibili, vanno a finire nello spazio pubblico, a disposizione di chiunque voglia farne uso (anche criminale).

Vengono inoltre colpite duramente anche le aziende, specialmente dal punto di vista reputazionale.

La violazione dei dati diventa sempre più diffusa. Sempre IBM ha calcolato che nel 2019 le aziende hanno il 29,6% di probabilità di subire un data breach nel breve periodo (da qui ai prossimo 5 anni).

Nel 2014, la cifra si fermava al 22.6%.

2. LPD, COME VENGONO GESTITE LE VIOLAZIONI

La futura LPD imporrà a tutte le persone (fisiche e giuridiche) attive nel settore privato che gestiscono ed entrano in possesso di informazioni riguardanti persone fisiche, indipendentemente dalla loro grandezza e dal settore di attività, un obbligo ampio di comunicazione all’Incaricato federale della protezione dei dati (IFPD) delle violazioni della sicurezza.

Rispettivamente un obbligo di informazione al beneficio delle persone interessate (i.e. le persone i cui dati personali sono stati violati).

Secondo l’attuale stato della revisione totale della LPD (maggio 2020), la comunicazione all’IFPD deve avvenire in presenza di una violazione della sicurezza che possa comportare anche solo verosimilmente un rischio grave per la tutela della personalità e i diritti fondamentali della persona interessata.

La comunicazione deve essere effettuata il prima possibile.

In linea di massima, secondo il Consiglio federale, occorre «agire rapidamente, ma la disposizione lascia un certo margine di vulnerabilità.

È determinante, tra le altre cose, la probabilità del rischio di ledere la persona interessata: quanto più elevati sono i rischi e il numero delle persone interessate, tanto più rapidamente dovrà reagire il titolare del trattamento.

Nella comunicazione occorrerà per tanto menzionare:

  • a) il tipo di violazione della sicurezza dei dati;
  • b) le sue conseguenze;
  • c) le misure disposte o previste per rimediarvi;

L’obbligo di informare la persona interessata è dato ogniqualvolta l’informazione sia necessaria per proteggere la medesima oppure se espressamente richiesto dall’IFPD, essa può avvenire anche tramite una comunicazione pubblica.

Al fine di risolvere il conflitto tra l’obbligo di comunicazione e il diritto di non contribuire alla propria incriminazione, la futura LPD prevede che la comunicazione possa essere usata nel quadro di un procedimento penale contro la persona soggetta all’obbligo di comunicazione soltanto con il suo consenso.

3. LPD, TUTTI GLI STRUMENTI IDONEI A PREVENIRE LA VIOLAZIONE

Al fine di poter dimostrare che l’organizzazione è in grado di gestire le violazioni della sicurezza, rispettivamente che le violazioni effettivamente subite sono state gestite conformemente alla legge, si raccomanda di predisporre un “piano” calibrato sui rischi per gli interessati composto alcuni fondamentali elementi.

Per affrontare al meglio un Data Breach è opportuno predisporre dunque ruoli e procedure all’interno dell’organizzazione aziendale:

  • • una squadra d’intervento dotata delle competenze necessarie tecniche e giuridiche e specialmente organizzata e formata per effettuare rapidamente le analisi e le comunicazioni richieste in caso di evento avverso;
  • • un manuale operativo per la gestione dei “data breach”;
  • • una policy che specifichi (in particolare) i criteri volti a identificare concretamente i rischi e a valutarne il livello di gravità, istruzioni, processi, ruoli, responsabilità e meccanismi di verifica post evento sull’operato della squadra e sull’adeguatezza dei provvedimenti tecnici e organizzativi posti a difesa dei dati personali;
  • • un registro delle violazioni della sicurezza, che contempli non solo le violazioni comunicate all’IFPD o oggetto di informazione agli interessati e le misure di contenimento adottate, bensì tutte le violazioni subite dall’azienda;
  • • un addendum contrattuale nell’ambito dei rapporti del titolare con i responsabili del trattamento (i.e. i soggetti autonomi cui il titolare ha delegato lo svolgimento di specifiche attività di trattamento) che determini tra tutti:
    • a) obbligo di comunicazione al titolare delle violazioni di sicurezza;
    • b) modalità e tempistiche di esecuzione;
    • c) obblighi di manleva e indennizzo e pene convenzionali;
  • • istruzioni operative sulle attività di trattamento, rispettivamente attività di sensibilizzazione e di training regolare sui rischi per la sicurezza, indirizzati a coloro che trattano dati personali all’interno dell’azienda.

4. LPD, UNO SGUARDO AL GDPR IN OTTICA DI DATA BREACH

Subire una violazione di sicurezza fa parte del rischio imprenditoriale e in un mondo digitalizzato si tratta solo di una questione di tempo.

La sicurezza assoluta non può essere garantita in toto, così come non esiste alcuna responsabilità in caso di violazione se i sistemi sono protetti conformemente alle norme in vigore e ai livelli di diligenza applicabili al settore in cui si opera.

Diversamente, la violazione degli obblighi legali di tutela tempestiva degli interessati imputabile a negligenza, impreparazione oppure inadeguatezza dell’organizzazione è un peccato imperdonabile, fonte di piena responsabilità per le imprese e, personalmente, per i loro organi (amministratori e direttori).

Occorre prepararsi e far si che le aziende siano pronte ad affrontare una problematica che, per complessità e urgenza, non permette improvvisazioni.

Secondo il regolamento europeo infatti, il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, dovrà documentare tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro.

Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.