Gentile utente ti informiamo che questo sito utilizza cookie di profilazione di terze parti. Se decidi di continuare la navigazione accetti l'uso dei cookie.
x Chiudi
Consulenza.it - L'informazione integrata per professionisti e aziende
Consulenza Buffetti - il portale dei professionisti e delle aziende
Ricerca avanzata

News

GDPR e Privacy
torna alle news

Come riconoscere un data breach da notificare al Garante e agli interessati: criteri di valutazione, casi pratici e approccio operativo

Tra gli adempimenti più delicati previsti dal GDPR, la gestione delle violazioni dei dati personali rappresenta una delle fasi dell’accountability in cui titolari del trattamento, DPO e responsabili privacy sono chiamati a compiere valutazioni veloci e, nel contempo, giuridicamente salde.

La prassi applicativa prova che la criticità principale non si trova tanto nella notifica da fare all’Autorità Garante in sé, quanto nella corretta qualificazione dell'evento; infatti, non ogni incidente di sicurezza costituisce un data breach e, soprattutto, non ogni data breach implica l'obbligo di comunicazione all'Autorità di controllo o agli interessati.

Una valutazione errata dell’evento può esporre l'organizzazione a conseguenze significative. 

Da un lato, infatti non notificare al Garante una violazione importante può esporre a responsabilità e sanzioni; dall'altro, scambiare ogni incidente di sicurezza per data breach da notificare, rischia di dare origine a comunicazioni superflue, aggravare i processi interni e attestare che il sistema di gestione degli incidenti non funziona nel modo corretto.

In questo contesto, assumono particolare rilevanza gli articoli 33 e 34 del Regolamento Generale sulla Protezione dei Dati (GDPR), nonché le linee guida adottate dall'European Data Protection Board, che forniscono indicazioni operative per la valutazione del rischio e la gestione delle violazioni.

Quindi, come procedere per gestire un incidente di sicurezza nel modo corretto?

Il primo passaggio è quello di stabilire se si tratta realmente di un data breach.

L'articolo 4, paragrafo 12, del GDPR definisce la violazione dei dati personali come:

"la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati."

La definizione mostra un elemento essenziale, perché si possa parlare di data breach, non basta che si verifichi un incidente informatico o organizzativo, è altresì necessario che l'evento abbia interessato dati personali.

Di conseguenza un malfunzionamento tecnico che non impatta sui dati personali, come ad esempio un tentativo di attacco hacker bloccato tempestivamente, prima cioè che si realizzi un accesso effettivo al sistema informatico tale da coinvolgere i dati personali, potrebbe non integrare una violazione ai sensi del GDPR,

La valutazione deve quindi basarsi su tre domande preliminari:

  1. Sono coinvolti dati personali?
  2. Si è verificata una compromissione della riservatezza, dell'integrità o della disponibilità dei dati?
  3. Esistono conseguenze potenziali per gli interessati?

Solo in presenza di una risposta positiva ai primi due quesiti, si entra nel cerchio del data breach.

Primo step: Identificare la violazione 

Le linee guida europee distinguono le violazioni in tre categorie fondamentali.

Violazione della riservatezza

È il caso più frequente e si verifica quando dati personali vengono comunicati o resi accessibili a soggetti non autorizzati.

Appartengono a questa categoria:

  • e-mail inviate al destinatario errato;
  • accessi abusivi ai sistemi informativi;
  • furto di credenziali;
  • pubblicazione involontaria di dati online;
  • divulgazione accidentale di documentazione.

Violazione dell'integrità

Si verifica quando i dati vengono modificati senza autorizzazione o risultano alterati.

Esempi ne sono:

  • alterazione di dati anagrafici;
  • modifica non autorizzata di fascicoli sanitari;
  • sofisticazione di documentazione amministrativa;
  • inquinamento dei dati a seguito di attacchi informatici.

Violazione della disponibilità

Si verifica quando i dati diventano temporaneamente o definitivamente indisponibili.

Esempi più diffusi:

  • attacchi ransomware;
  • cancellazioni accidentali;
  • guasti hardware senza adeguati backup;
  • perdita di archivi documentali.

Spesso la violazione della disponibilità viene sottovalutata, eppure la giurisprudenza e le autorità di controllo hanno chiarito, in più occasioni, che anche la mera indisponibilità dei dati può costituire un data breach, qualora colpisca i diritti e le libertà degli interessati.

Secondo step: valutare il rischio

Una volta accertata l'esistenza di una violazione, occorre effettuare la valutazione prevista dall'articolo 33 GDPR.

Il legislatore europeo ha adottato un approccio basato sul rischio:

  • se la violazione non presenta alcun rischio per gli interessati, non sussiste obbligo di notifica ad essi;
  • se è presente un rischio, occorre notificare l'Autorità di controllo;
  • se il rischio è elevato, deve essere informato anche l'interessato.

La valutazione, dunque, non deve concentrarsi sulle conseguenze che l’incidente ha per l'organizzazione, bensì sui possibili effetti per le persone fisiche coinvolte.

Terzo step: considerare alcuni fattori 

Le linee guida dell'European Data Protection Board indicano una serie di elementi che dovrebbero essere sempre considerati.

1. Natura dei dati, tenendo presente che il livello di rischio aumenta in presenza di:

  • dati sanitari;
  • dati genetici;
  • dati biometrici;
  • dati relativi a minori;
  • dati finanziari;
  • credenziali di autenticazione;
  • dati giudiziari.

 La compromissione di tali informazioni può comportare effetti significativi sugli interessati.

2. Facilità di identificazione

Occorre verificare se i dati accordino l'identificazione immediata della persona o possano essere facilmente collegati a un soggetto determinato.

E’ evidente che un dataset pseudonimizzato presenta normalmente un rischio inferiore rispetto a un archivio contenente nominativi completi.

3. Numero di soggetti coinvolti

Anche una violazione che coinvolge un solo interessato, può necessitare di essere notificata, qualora riguardi dati particolarmente delicati, tuttavia anche questo dato va tenuto in considerazione.

4. Gravità delle conseguenze

Tra i possibili scenari negativi devono essere osservati:

  • furto d'identità;
  • frodi economiche;
  • accessi non autorizzati ad account;
  • discriminazioni;
  • danni reputazionali;
  • perdita di opportunità lavorative;
  • pregiudizi psicologici o sociali.

5. Peculiarità dell'organizzazione

In alcuni contesti, il rischio assume una rilevanza maggiore.

Si pensi a:

  • strutture sanitarie;
  • enti pubblici;
  • istituti bancari;
  • compagnie assicurative;
  • organizzazioni che trattano dati di categorie vulnerabili.

Quarto step: La notifica al Garante e agli interessati

Quando notificare il Garante

L'articolo 33 GDPR prevede che il titolare notifichi la violazione all'autorità competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza.

È importante precisare che il termine non decorre dal verificarsi dell'incidente, ma dal momento in cui il titolare apprende, con ragionevole certezza, che si è verificata una violazione.

In questa fase, possono anche non esserci tutte le informazioni, che andranno raccolte subito dopo.

Le stesse autorità europee riconoscono la possibilità di effettuare notifiche successive o integrative, qualora affiorino ulteriori elementi nel corso delle indagini.

Quando comunicare la violazione agli interessati

L'articolo 34 GDPR introduce una soglia più elevata.

E’ necessario comunicare il data breach agli interessati, solo quando il rischio diventa "elevato".

La finalità è permettere alle persone coinvolte di adottare misure per difendersi adeguatamente.

Si pensi, ad esempio:

  • al cambio delle password;
  • al blocco di carte di pagamento;
  • al monitoraggio di possibili utilizzi fraudolenti dei dati;
  • all'adozione di ulteriori cautele.

La comunicazione deve essere scritta in linguaggio chiaro e comprensibile, evitando formulazioni eccessivamente tecniche.

Quinto step: analizzare le misure di sicurezza

Un elemento spesso decisivo riguarda l'efficacia delle misure tecniche adottate prima dell'incidente.

Si pensi al furto di un dispositivo aziendale, se il disco è cifrato; le chiavi di cifratura non risultano compromesse; non esistono elementi che facciano presumere un accesso ai dati,

il rischio per gli interessati potrebbe risultare irrisorio.

Al pari, la cifratura solida dei dati rappresenta una delle circostanze che possono far scartare la necessità di informare gli interessati anche in presenza di una violazione.

Questo elemento dimostra il collegamento diretto tra adeguatezza delle misure di sicurezza e gestione degli obblighi di breach notification.

Alcuni casi pratici

Invio di buste paga al destinatario errato, tipica violazione della riservatezza.

In tal caso, la presenza di dati economici, fiscali e occupazionali implica generalmente un rischio per gli interessati e rende spesso necessaria la notifica al Garante.

a. Attacco ransomware con backup integri

In passato, si tendeva a considerare il ransomware esclusivamente come una violazione della disponibilità.

Oggi, alla luce dell'evoluzione degli attacchi e delle indicazioni delle autorità europee, è opportuno pensare a possibili accessi ai dati, salvo prova contraria.

Di conseguenza, la valutazione deve allargarsi sia alla disponibilità sia alla riservatezza delle informazioni.

b. Accesso abusivo a una cartella sanitaria

In presenza di dati sanitari il rischio è particolarmente elevato.

In questi casi, la notifica al Garante e la comunicazione agli interessati risultano solitamente necessarie.

Spessi ci si dimentica della documentazione interna, infatti, anche nei casi in cui non è necessario effettuare la notifica al Garante il titolare deve documentare:

  • le circostanze relative alla violazione;
  • le conseguenze rilevate;
  • le motivazioni delle decisioni adottate;
  • le misure correttive considerate e applicate.

Questo obbligo rappresenta una concreta applicazione del principio di accountability.

In sede ispettiva, infatti, l'organizzazione deve essere in grado di provare, non solo le violazioni notificate, ma anche il percorso logico che ha portato ad escludere la notifica in altri casi.

La domanda corretta, pertanto, non è se si sia verificato un incidente di sicurezza, bensì se quell'incidente sia stato abile a causare un rischio per i diritti e le libertà delle persone fisiche.

La distinzione tra evento tecnico, data breach e data breach notificabile rappresenta il cuore dell'intero processo decisionale.

Per tale motivo, le organizzazioni dovrebbero dotarsi di procedure che consentano di:

  • identificare celermente gli incidenti;
  • identificare la tipologia di violazione;
  • calcolare il rischio secondo criteri documentati;
  • adottare decisioni logiche e dimostrabili;
  • rispettare i termini di notifica previsti dal GDPR.

Solo un approccio strutturato e basato sul rischio permette di soddisfare pienamente gli obblighi normativi e di assicurare una tutela effettiva degli interessati, scongiurando sia omissioni, sia notifiche inutilmente prudenziali.