Le nuove linee guida forniscono esempi concreti di notifiche di data breach: una guida pratica per notificare le violazioni di dati personali concentrando l'attenzione sul rischio umano.

L'EDPB ha adottato le nuove linee guida

L'European Data Protection Board ha adottato nella sessione plenaria di Dicembre la versione definitiva delle nuove linee guida per la notifica dei data breach. La volontà è stata quella di fornire indicazioni pratiche e concrete per gestire il data breach e il rischio correlato, con forte attenzione sul "rischio umano", sia esso intenzionale o involontario.

Insomma, sono linee guida concrete che articolano i principi del GDPR e li declinano e puntualizzano nella realtà, tenendo conto dell'esperienza e della casistica occorsa dall'entrata in vigore della normativa. Sono pensate per i titolari e i responsabili del trattamento.

I fattori di rischio più comuni

Le linee guida elencano le principali categorie di rischio e forniscono case studies che fungono da veri e propri modelli per titolari e responsabili. I momenti analizzati sono la fase di valutazione dei rischi connessi al trattamento e quella che si avvia dal momento dell'individuazione di un data breach.

I fattori di rischio elencati sono:

• Attacchi hacker con furto/esfiltrazione di dati.
• Rischi derivanti dal fattore umano.
• Ransomware (con adeguato backup o senza backup dei dati).
• Ingegneria sociale.
• Smarrimento o furto di dispositivi o documenti contenenti dati personali.
• Errato invio di documenti per corrispondenza.
  
  

Il titolare e il data breach: che cosa deve fare?

Il titolare del trattamento deve annotare la violazione e notificare il data breach nei casi in cui si possa riscontrate un rischio per i diritti e la libertà degli interessati. Il breach va comunicato direttamente anche all'interessato nel caso in cui la violazione “sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Tutto senza "ingiustificato ritardo": insomma il titolare del trattamento ha pochissimo tempo per notificare il breach e le tipologie di dati sottratti. In questo breve lasso di tempo il titolare deve anche perimetrare la violazione, così da impostare le azioni successive per mitigare il rischio. Il titolare deve quindi presentare un alto livello di organizzazione, interno ed esterno. Per questo l'EDPB consiglia l'istituzione di un libro mastro sul data breach, con le procedure tecniche ed organizzative da mettere in campo per affrontare tempestivamente il breach, fornendo anche la modulistica necessaria secondo gli obblighi normativi.

Per approfondire > La filiera della privacy nelle aziende

Quali tipi di data breach?
L'EDPB ha identificato tre tipologie di data breach:

• Availability breach: è il caso di perdita accidentale o non autorizzata della disponibilità dei dati. Il caso estremo è la distruzione del dato;
• Confidentialy breach: la perdita di riservatezza di un dato, dovuta ad esposizione accidentale dello stesso o per accesso da parte di terze parti non autorizzate;
• Integrity breach: si verifica quando i dati sono volontariamente o accidentalmente alterati. Vi rientra, ad esempio, la modifica dei dati anagrafici degli utenti.

L'anello debole della catena: l'essere umano

Se è comune pensare che una violazione dei dati avviene perchè sono violati i dispositivi che li contengono, meno attenzione si presta invece al rischio umano. L'EDPB invece fa l'operazione opposta, descrivendo con abbondanza di esempi e case studies quei rischi correlati al fattore umano. Ecco la casistica:

• un ex dipendente sottrae dati di contatto dei clienti
  è il primo caso analizzato nelle Linee Guida, perché riscontrato frequentemente nella realtà. Porta in seno una contraddizione: il dipendente sottrae dati ai quali ha legittimamente accesso perché necessari per lo svolgimento della propria mansione (si pensi ad un agente commerciale). L'esfiltrazione in questo caso si limita ai dati di contatto usati allo scopo di sottrarre clienti all'ex datore di lavoro. Il rischio per gli interessati non è elevato, quindi sarebbero sufficienti la notifica al garante e l'annotazione del breach nei log interni. L'EDPB consiglia comunque al titolare di comunicare il breach agli interessati così che l'azienda li possa avvisare prima dell'ex dipendente.

Tra le misure di mitigazione, l'EDPB consiglia di citare in giudizio l'ex dipendente onde evitare che possa abusare ulteriormente dei dati aziendali detenuti illecitamente.

• trasmissione accidentale di dati personali;
  il secondo caso riguarda la trasmissione involontaria di dati personali ad un terzo di fiducia, come un consulente aziendale. E' un breach derivato da errore umano involontario e non dettato da cattiva fede. Le misure di mitigazione previste dall'EDPB sono:
  • formazione e sensibilizzazione dei dipendenti, continua e programmata;
  • riduzione dello scambio di file via email, privilegiando l'uso di piattaforme e sistemi dedicati all'elaborazione dei dati di contatto dei clienti;
  • verifica dei file in invio precedentemente all'invio stesso;
  • separando il momento della creazione da quello dell'invio dei file.

E' un Confidentialy breach: viene lesa la confidenzialità del dato, ma questo rimane disponibile e integro. L'annotazione del breach nella documentazione aziendale è tutto quanto è sufficiente. Nel caso la trasmissione di dati riguardi dati sensibili o comunque un numero elevato di persone, si rende comunque necessaria la notifica al Garante e la comunicazione agli interessati.

Misure di sicurezza e tecnico organizzative consigliate

Il GDPR non prevede né specifica precise misure di sicurezza o tecnico-organizzative, fatto che è stato fonte di non poche difficoltà pratiche nell'applicazione del GDPR ai trattamenti. Alla luce dell'esperienza pregressa, l'EDPB finalmente fornisce un elenco esplicito di misure per mitigare il rischio umano:

• programmi di formazione e sensibilizzazione
• per i dipendenti sugli obblighi privacy che li riguardano nello svolgimento delle proprie mansioni, sulle misure di prevenzione e su come gestire i breach. E' utile anche sensibilizzare sulle possibili minacce alla sicurezza dei dati, sia nel mondo digitale che in quello "reale". Molto utile per l'EDPB un programma formativo che ricordi ai dipendenti errori e rischi più comuni;
• approntamento di pratiche e procedure, adozione di sistemi solidi ed efficaci per proteggere i dati e la privacy degli interessati;
• implementazione di severi e continui controlli degli accessi (log);
• implementazione di sistemi di autenticazione rafforzata (autenticazione multifattore ecc…);
• revisione complessiva delle politiche di accesso ai dati dei dipendenti, con registrazione degli accessi ai dati sensibili ed eventuale richiesta al dipendente del motivo di accesso a quei dati;
• immediata cancellazione / disabilitazione degli account aziendali collegati ad ex dipendenti;
• verifica del flusso dati tra server e le postazioni lavorative dei dipendenti;
• implementazione di misure di sicurezza sui dispositivi aziendali, uso di software di controllo per le interfacce dei pc (blocco e sblocco di USB, CD, porte ecc…), misure di protezione del BIOS;
• disabilitazione di servizi cloud aperti;
• blocco automatico dei pc dopo periodi stabiliti di inattività;
• divieto di uso di servizi di open mail;
• utilizzo di sistemi dedicati per la gestione dei dati personali. Qui l'EDPB ricorda che i fogli di calcoli e altri documenti di Office NON SONO strumenti adatti a gestire i dati dei clienti. Sono invece da privilegiare sistemi di gestione che consentano il controllo degli accessi e prevedano meccanismi di prevenzione di errori umani.

Il testo completo delle linee guida per le notifiche e la gestione del rischio di data breach è disponibile qui