loader image
DATA BREACH: perchè auto-denunciarsi al Garante?

DATA BREACH: perchè auto-denunciarsi al Garante?

Il titolo è provocatorio, ma prende spunto da un quesito che numerose aziende ci hanno rivolto in sede di consulenza.

Come noto, in caso di data breach (es. furto di dispositivi informatici contenenti dati personali), potrebbe scattare l’obbligo di notifica della violazione al Garante Privacy (qui, per un approfondimento).

A quel punto, però, sono in molti a chiedersi: perchè si dovrebbe denunciare l’accaduto all’Autorità, pur sapendo che, in ragione della notifica, verrebbero avviate le relative indagini per conoscere i motivi del data breach?

La domanda – vista dalla prospettiva di un imprenditore – è del tutto legittima: d’altronde, nessuno ha il desiderio di diventare un “sorvegliato speciale” dell’Autorità Garante, con lo spettro – peraltro – di subire una pesante sanzione.

Premesso che una tale condotta è contraria alle norme di legge – e questo dato già di per sè dovrebbe dissuadere ogni impresa dall’agire in tal senso – proviamo comunque ad elencare le ragioni a favore della notifica al Garante (qualora siano integrati i requisiti che integrano il relativo obbligo).

  1. LE CONSEGUENZE DI UN DATA BREACH SONO IMPREVEDIBILI: Si sente spesso ripetere che con la diffusione di internet le informazioni e le notizie viaggiano veloci. Purtroppo lo stesso può valere per i dati personali di cui abbiamo perso il controllo in seguito ad un data breach. In brevissimo tempo le informazioni riservate di clienti o fornitori potrebbero passare di mano in mano ed essere condivise e utilizzate per i più vari scopi criminali. Oggi, infatti, il cyber-crime è una realta industrializzata, che attinge da qualsiasi fonte di dati con metodi sempre più sofisticati. È un errore credere che questo fenomeno riguardi soltanto il settore pubblico o le grandi multinazionali (qui trovate uno studio recente sul tema). Informare il Garante diventa pertanto essenziale per avere piena coscienza degli effetti che potrebbero derivare dalla violazione, affidandosi a chi – più di ogni altro – studia e affronta casi simili conoscendone il reale impatto.
  2. PRIMA O POI SI SCOPRIRÀ CHI HA CAUSATO IL DATA BREACH: è una legge non scritta che bisogna tenere a mente. Non è un mistero che, in presenza di alcune circostanze, le aziende – soprattutto in passato – abbiano preferito tenere “segreti” i data breach. Il motto che si segue in questi casi è: non svegliare il can che dorme. Se il cliente non si accorge di nulla, se non riceviamo alcuna lamentela o reclamo, perchè procedere con la notifica? Torniamo, allora, al punto precedente, per ribadire un concetto: in questa fase di emergenza non si può rimettere tutto all’improvvisazione, sperando che la violazione resti “sotto traccia”. Al riguardo va precisato un altro dato importante: anche nei casi in cui il data breach non sia immediatamente ricollegabile ad una determinata società o ad uno specifico professionista (per ragioni connesse alla sua portata ed estensione che rendono difficile l’individuazione dell’origine della violazione) tuttavia gli strumenti tecnologici odierni consentono ai tecnici informatici (di cui si avvale il Garante in sede di ispezione) di scoprire – nella gran parte dei casi – quale sia stata la causa scatenante la violazione. Morale della favola: nascondere la testa sotto la sabbia è la peggiore delle idee!
  3. IL GARANTE NON È “IL CATTIVO”: dobbiamo liberarci da questa concezione comune secondo la quale il Garante sarebbe il “nemico” pronto a erogare sanzioni non appena si commette una violazione. Questa narrazione è fuorviante: la figura del Garante andrebbe invece immaginata in termini opposti, come una “spalla” a cui possiamo fare affidamento per comprendere i nostri errori, provando ad attingere dalla sua enorme competenza ed esperienza. La notifica può aiutarci ad instaurare un rapporto proficuo con il Garante, valutando insieme all’Autorità quali potrebbero essere le migliori strategie (tecniche e organizzative) da adottare in futuro per evitare incidenti simili a quello che abbiamo denunciato.
  4. UN ATTEGGIAMENTO COLLABORATIVO EVITA LA SANZIONE: si ritorna al punto precedente. Se il Garante viene interpellato – con notifica – si instaura un rapporto collaborativo tra le parti che evita la sanzione (a meno che non siano stati commessi errori macroscopici, dovuti a negligenza o malafede); se, invece, il Garante viene a conoscenza della violazione per il tramite di terzi (come nel caso del cliente che denuncia il data breach), allora – per ovvie ragioni – sarà più propenso a “punire” la nostra condotta, piuttosto che a collaborare con noi.
  5. IL DATA BREACH NON È SINONIMO DI COLPA: ad oggi il rischio zero non esiste in termini di sicurezza informatica e, probabilmente, non esisterà mai. Le violazioni di dati che conseguono ad attacchi informatici sono all’ordine del giorno, e possono anche colpire aziende dotate dei più elevati standard di sicurezza. Per cui una violazione non va necessariamente intesa in termini di “colpa”. Spesso chi attacca (il cyber-criminale) è due o tre passi avanti rispetto a chi si difende; questo significa che le misure di sicurezza che abbiamo adottato potrebbero non bastare. Ecco perchè la notifica va interpretata quale informazione utile al Garante (e a chi si occupa di cyber-sicurezza) per comprendere – anche a fini statistici – quali sono i nuovi trends nel campo del cyber crimine. Questo consente di comprendere lo scenario attuale e di realizzare gli anticorpi necessari a proteggere le infrastrutture pubbliche e private del Paese.
  6. LA NOTIFICA PUÒ SALVARE LA REPUTAZIONE DI UN’AZIENDA: se l’azienda dimostra di aver sottostimato i danni conseguenti ad un data breach, o addirittura di aver coscientemente omesso la dovuta notifica, quale potrebbe essere il danno economico che ne consegue? Difficile dirlo, perchè quando in gioco ci sono valori come l’affidabilità o la reputazione di un’azienda, i risvolti economici sono imprevedibili. La notifica al Garante, certo, non è esente da possibili ripercussioni economiche, ma la tendenza sul mercato odierno è quella di premiare le aziende che osservano una condotta trasparente, responsabile e consapevole dei dati che detiene e delle misure che vanno adottate per proteggerli.

Saranno necessari mesi e forse anni per comprendere la logica sottesa alla notifica del data breach. Ancora oggi, agli occhi di imprenditori e professionisti appare per quello che non è

La notifica, infatti, non va intesa in termini di auto-denuncia; è invece uno strumento che tutela l’immagine aziendale e protegge clienti e fornitori.
La notifica non è un’ammissione di colpa; nasce dall’esigenza di rendere noti i data breach per evitare un effetto “contagio” in fase di emergenza, nella consapevolezza che, in questo campo, il rischio zero non esiste.
La notifica, infine, non è un “assist” al Garante in vista di future sanzioni, ma un’opportunità per dare vita ad una collaborazione proficua tra le parti, volta a mettere in sicurezza il nostro patrimonio informativo.

GDPR: cosa fare in caso di data breach

GDPR: cosa fare in caso di data breach

Partiamo da una premessa fondamentale: cos’è un data breach?

Sul punto, il GDPR (il Regolamento Europeo sulla protezione dei dati personali) è molto chiaro: per data breach si intende una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Casi concreti ed esempi di data breach

Traduciamo questa definizione in esempi concreti.

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati (es.: un cyber criminale che riesce ad accedere al nostro data-base);
  • il furto o la perdita di dispositivi informatici contenenti dati personali (es.: la perdita di una chiavetta USB non criptata in luogo esterno al perimetro aziendale);
  • la deliberata alterazione di dati personali (es.: il dipendente che, in malafede, decide di alterare alcuni dati aziendali ai quali può accedere in ragione della propria mansione);
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc. (es.: l’attivazione di un ransomware che inibisce l’accesso al database infettato, richiedendo un riscatto);
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità (es.: un incendio che distrugge gran parte degli hard disk esterni);
  • la divulgazione non autorizzata dei dati personali (es. l’email confidenziale inviata al destinatario sbagliato

1. NOTIFICA ENTRO 72 ORE: È SEMPRE NECESSARIA?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) deve notificare il data breach al Garante entro 72 ore dal momento in cui ne è venuto a conoscenza (qui per scaricare il modello di notifica al Garante).

Questo obbligo, però, scatta solo nel caso in cui il data breach comporti un rischio per i diritti e le libertà delle persone fisiche.

La valutazione riguardante l’entità del rischio è molto delicata e deve essere effettuata da consulenti esperti che vi possono suggerire in tempi brevi quale soluzione adottare (72 ore è un tempo relativamente breve per chi deve affrontare emergenza!)

2. E SE IL RISCHIO È ELEVATO?

Se la violazione comporta un rischio elevato per i diritti delle persone interessate (vale a dire un rischio che potrebbe concretizzarsi in un evento dannoso di una certa entità, come ad esempio il rischio di frode), il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Giocano infatti un ruolo decisivo le misure tecniche e organizzative implementate “a monte” dal Titolare, per mitigare l’ipotesi di rischio che, in caso di data breach, si concretizza.

Per semplificare, riportiamo un esempio:
l’agente Tizio della Società Alfa, nel corso di una visita in loco presso un potenziale cliente, perde il Tablet aziendale, contenente dati personali acquisiti nel corso dell’attività di procacciatore.
La società, proprio al fine di mitigare le conseguenze di un tale evento, aveva a suo tempo predisposto la criptazione dell’hard disk del Tablet, inibendo così il rischio che soggetti terzi potessero accedere ai dati in esso contenuti.

Una misura di sicurezza che, pertanto, annulla qualsiasi ipotesi di danno economico, sociale, reputazionale a danno degli interessati, dal momento che i dati di quel Tablet sono inaccessibili a terzi, oltre che “inutilizzabili”.

Pertanto, la Società Alfa non dovrà procedere alla notifica al Garante, nè dovrà informare i propri clienti dell’accaduto (con tutti i benefici del caso, soprattutto in termini di reputazione aziendale).

3. COSA FARE QUANDO NON OCCORRE NOTIFICARE IL DATA BREACH.

La parola d’ordine in questi casi è una sola: documentare.
Anche se il data breach non comporta un rischio per i diritti e le libertà delle persone fisiche, il GDPR richiede che siano spiegate le ragioni per cui tale rischio non sussiste.
Dunque, occorre prendere nota del data breach in un apposito registro ed elencare le misure tecniche e organizzative che hanno mitigato il rischio, scongiurando l’ipotesi di una notifica al Garante (nell’esempio di prima, andrà motivata la mancata notifica in ragione della criptazione dell’hard disk).

Si potrebbe pensare che tale procedura, volta a documentare una violazione sostanzialmente innocua, sia da considerarsi superflua.
E invece non lo è affatto.
Perchè?
La risposta è piuttosto semplice: il Garante Privacy – in sede di controllo – si avvale di tecnici informatici in grado di riportare alla luce episodi passati di “data breach”.
In questi casi, un comportamento specchiato e trasparente nei confronti dell’Autorità può essere un elemento decisivo per evitare qualsiasi ipotesi di sanzione!