Sempre più spesso gli Enti pubblici cadono vittime di violazioni della sicurezza dei dati per cui, anche al fine di non incappare nelle sanzioni del Garante per la protezione dei dati personali, è fondamentale predisporre dei sistemi di gestione dei data breach.
È di poche settimane fa la notizia dell’attacco informatico subito dall’ATC del Piemonte e dall’USL Umbria 2 in cui degli hacker, servendosi di virus che rendono inaccessibili i dati dei computer infettati, hanno bloccano i sistemi informatici e richiesto il pagamento di un riscatto per ripristinarli. Meno di due settimane prima, a cadere nello stesso tipo di attacco, c.d. “ransomware”, erano stati i comuni di Brescia, Rho, La Loggia e Caselle.
Si tratta di violazioni che, oltre a impedire l’erogazione dei servizi offerti attraverso le piattaforme telematiche, rischiano di avere dei risvolti anche in tema di privacy in quanto comportano il rischio concreto di una fuga di dati. Sebbene inizialmente il Comune di Brescia lo avesse escluso, è oramai certo che, a seguito del suddetto attacco informatico, parte dei dati appartenenti al comune, sono stati sottratti e venduti sul dark web.
Incidenti di questo tipo sono sempre più frequenti per cui è fondamentale che gli Enti pubblici siano consapevoli degli adempimenti richiesti dal Regolamento UE 2016/679 (GDPR) e, vista anche la particolare delicatezza dei dati trattati, predispongano un sistema di gestione dei data breach.
Cos’è un “data breach”?
Il GDPR definisce il data breach come una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4, definizione n. 12, GDPR). In sostanza si tratta di una violazione dei dati personali che pone a rischio la riservatezza, l’integrità o la disponibilità dei dati personali.
L’incidente di sicurezza può verificarsi in vario modo:
- l’accesso o acquisizione dei dati da parte di terzi non autorizzati;
- il furto o perdita di dispositivi informatici contenenti dati personali,
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, di divulgazione non autorizzata dei dati personali.
Il primo passo per una corretta gestione dei data breach consiste dunque nel riconoscere i fatti o le anomalie che possono comportare un rischio per la sicurezza dei dati personali.
Il sistema di gestione dei data breach
Il GDPR, avendo un approccio basato sulla valutazione del rischio, impone al titolare del trattamento di predisporre in anticipo tutte le precauzioni utili per preservare la sicurezza dei dati ed evitare trattamenti illeciti. Al fine di individuare le misure più opportune per reagire agli incidenti di sicurezza, è essenziale procedere ad un’analisi preventiva che tenga conto della natura dei dati trattati e della probabilità e gravità dei rischi specifici ai quali è esposto l’interessato i cui dati sono oggetto di trattamento.
In molti casi il rischio che si verifichino dei data breach non potrà essere azzerato, tuttavia la predisposizione di ruoli e procedure consentirà di gestire nel modo più tempestivo gli incidenti di sicurezza che dovessero verificarsi. Il sistema di gestione dei data breach, per essere efficace e conforme al GDPR, dovrà garantire 3 obiettivi:
- rilevare tempestivamente le violazioni di sicurezza;
- valutare correttamente la gravità dell’evento e i rischi derivanti dall’incidente;
- documentare tutti gli incidenti di sicurezza e le azioni di risposta messe in atto al fine di ridurre le possibilità che quella medesima violazione possa ripetersi e per attenuare i rischi generati dalla violazione.
Gestione dei data breach: la rilevazione delle violazioni
Il sistema di Gestione dei data breach dovrà anzitutto predisporre delle procedure di rilevamento delle anomalie relative alla sicurezza dei dati e identificare i soggetti tenuti a segnalare il data breach al titolare e/o al responsabile del trattamento dei dati.
La segnalazione dovrà essere redatta, preferibilmente, in forma scritta e riportare, oltre alla data in cui è stata scoperta la violazione, anche una breve descrizione degli eventi. Ciò consentirà di effettuare, in primo luogo, una valutazione sulla necessità di fare la notifica al Garante e la comunicazione agli interessati, nonché di attivare le misure più opportune per limitare i rischi derivanti dal data breach.
La valutazione della gravità della violazione e dei rischi derivanti dal data breach
La gravità della violazione andrà valutata tenendo in considerazione 3 fattori:
- il contesto del trattamento (caratteristiche del titolare e degli interessati, il numero di persone coinvolte, il carattere sensibile e il volume dei dati violati);
- la facilità di identificazione dell’interessato coinvolto;
- le circostanze del data breach.
Nella gestione dei data breach, la fase della valutazione della gravità della violazione è un momento molto delicato. Si deve tenere infatti presente che, nel caso in cui il data breach comportasse un rischio per i diritti e le libertà delle persone, il titolare sarà tenuto a notificarlo al garante entro 72 ore dal momento in cui è venuto a conoscenza della violazione (art. 33, par. 1, GDPR). Qualora il suddetto rischio dovesse essere classificato come alto il GDPR impone inoltre al titolare di dare tempestiva comunicazione della violazione anche agli interessati (art. 34 GDPR).
Gestione dei data breach: il registro delle violazioni
Il GDPR impone al titolare di documentare qualsiasi violazione dei dati personali avendo cura di indicare le circostanze ad essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio (art. 33, par. 5, GDPR). In altre parole, dovrà essere predisposto un apposito registro dei data breach in cui si dà atto di tutti i dettagli relativi alla violazione, comprese le cause, i fatti e i dati personali interessati.
La corretta documentazione delle violazioni costituisce un adempimento fondamentale nella gestione dei data breach perché consente al Garante di valutare il modo in cui viene gestita la violazione. La mancata o scorretta predisposizione del registro legittimerà l’Autorità ad utilizzare i poteri correttivi di cui all’art. 58, par. 2, GDPR e ad irrogare le, tanto temute, sanzioni pecuniarie di cui all’art. 83 GDPR che, nel caso degli Enti pubblici, potrebbero comportare anche responsabilità di tipo erariale.
Questo articolo sulla gestione dei data breach ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.