N. Febbraio 2021
a cura di Avv. Valentina Frediani
General Manager, Colin & Partners
Sono state pubblicate il 14 Febbraio 2021 le Linee Guida emanate dall’EDPB (European Data Protection Board) in materia di data breach. Il documento ha l’obiettivo di fornire indicazioni precise riportando una serie di casi pratici, sottoposti a notificazione verso le Autorità di controllo europee. In questo modo si analizza in quale ipotesi occorre effettuare la notificazione all’Autorità garante per la protezione dei dati personali nazionale, in quale la notificazione deve riguardare gli interessati i cui dati hanno subito il data breach, e, infine, i casi in cui non occorre provvedere a nessuno dei due oneri, laddove l’evento abbia delle conseguenze esclusivamente interne alla struttura del Titolare del trattamento.
Il documento è strutturato in modo piuttosto interessante e contempla il caso pratico oggetto di valutazione, le misure che la cui adozione avrebbe potuto prevenire, o comunque ridurre, i rischi legati all’attacco ed uno schema finale dove, per l’appunto, si riassume se l’evento ha rilevanza esclusivamente interna, verso l’Autorità Garante o anche verso i soggetti terzi.
Analizziamo alcuni esempi indicati nelle Linee Guida
Il primo riguarda la categoria dei ransomware: l’attacco è stato compiuto ai danni di un’azienda manufatturiera, i cui sistemi informativi sono stati bloccati mediante un sistema di crittografia dei dati e sottoposti a riscatto per tornare disponibili presso il Titolare. Questi dati, tuttavia, erano sottoposti a backup e nessuna esfiltrazione è stata effettuata mediante l’attacco.
Le Linee Guida precisano quindi che, non sussistendo una violazione effettiva della riservatezza dei dati, né un rischio di indisponibilità degli stessi – in quanto il Titolare era in possesso di copie – la notificazione all’Autorità Garante non è necessaria. Non lo è neppure quella ai soggetti interessati.
Nell’andare a individuare le misure prioritarie che, comunque, il Titolare deve attuare, l’EDPB evidenzia la necessità di adottare un appropriato sistema anti-malware e un backup che sia sempre separato rispetto ai sistemi informativi originari.
Il primo caso richiama il tema dell’analisi dei rischi che, nelle Linee Guida, viene evidenziato come punto di partenza fondamentale per qualsiasi Titolare del trattamento, al fine di poter determinare oggettivamente quali strumenti adottare in considerazione della tipologia di dati trattati, delle tecnologie sussistenti, delle misure organizzative impiegate e dei rischi connessi al core business.
Nell’ipotesi in cui l’attacco ransomware avvenga verso sistemi informativi in assenza di appropriato backup dei dati, sarà impossibile disporne in chiaro, in quanto criptati anche se non sottratti. Il Titolare del trattamento dovrà quindi provvedere alla notificazione presso l’Autorità di Controllo.
Diversa valutazione va effettuata rispetto ai soggetti terzi: l’eventuale notifica varia a seconda di quali dati hanno costituito oggetto di attacco. In questo caso si trattava di dati personali relativi a clienti di una azienda di prodotti agricoli e l’EDPB ha ritenuto non necessario provvedere alla notificazione nei confronti degli interessati.
Situazione ben diversa quella in cui l’attacco avvenga laddove non sussista un backup dei dati e un’esfiltrazione degli stessi in chiaro: qui la notificazione deve essere effettuata verso tutte le parti indicate dal Regolamento Europeo per la protezione dei dati personali: all’Autorità di controllo nazione e verso i terzi interessati.
Le misure di natura tecnica e quelle organizzative
Entrambe vengono citate. Quelle organizzative vengono particolarmente valorizzate nelle Linee Guida evidenziando come, la formazione del personale e le istruzioni operative relativamente alla prevenzione e alla gestione di un eventuale attacco, abbiano un’incidenza fondamentale nella gestione del rischio.
A livello di misure tecniche oltre al firewall si fa riferimento a Prevention system nonché strong authentication e strong encryption, tenendo conto che risultano fondamentali sia i vulnerability assessment che i penetration test, da effettuarsi, periodicamente al fine di poter misurare nel tempo anche le variabili che possono intervenire.
Occorre evidenziare come le Linee Guida affrontino anche una tematica spesso ricorrente nelle aziende: l’ipotesi in cui persone che occupano ruoli in ambito commerciale, all’interruzione del rapporto di lavoro, copino dati personali di potenziali clienti in ambito business to business e provvedano, autonomamente, a effettuare azioni di richiamo degli stessi una volta fuori dai locali dell’ex Titolare.
In questa ipotesi l’EDPB sottolinea come l’evento abbia sia rilevanza interna che esterna rispetto all’Autorità di Controllo Nazionale ma non si rendano necessarie comunicazioni ai soggetti terzi.
Infine, merita una menzione il caso in cui vengano inviati erroneamente dei dati a un soggetto terzo fiduciario che non è autorizzato alla conoscenza degli stessi: qui si precisa l’esclusione della notificazione solo nel caso in cui i dati non abbiano una natura particolare o sensibile.
Il documento, oltre a essere strumento di uso corrente per le valutazioni dei breach, sembra fondamentale anche alla luce di una rilettura del tema di valutazione dei rischi a quasi tre anni dall’entrata in vigore del Regolamento: sarebbe pertanto opportuno che aziende e PA provvedessero ad audit in tal senso e ripercorressero certe misure in modo da valutarle rispetto al tema dell’accountability.
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!