Il Comitato europeo per la protezione dei dati (EDPB) ha avviato una consultazione a metà gennaio su esempi di violazioni dei dati personali. Chiunque voglia fare pervenire il proprio contributo deve compilare l’apposito form online entro il 2 marzo 2021.

Di Marilara Coppola e Andrea Pisano


Il Comitato europeo per la protezione dei dati (EDPB) ha avviato una consultazione sulle Linee guida 1/2021 relative ad esempi di violazioni di dati personali.

Per violazione dei dati personali – ai sensi dell’art. 4 Regolamento UE 2016/679 (GDPR) – si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Una violazione può comportare danni fisici, materiali o immateriali per le persone fisiche i cui dati sono stati violati come ad esempio discriminazione, furto d’identità, danni reputazionali, perdite finanziarie, perdita di riservatezza dei dati personali protetti da segreto professionale ecc. Nonostante le conseguenze possano essere molteplici, si tende a catalogare una violazione in base alla sua natura distinguendo così:

  • una perdita di confidenzialità (diffusione/accesso non autorizzato o accidentale);
  • una perdita di integrità (modifica non autorizzata o accidentale);
  • una perdita di disponibilità (impossibilità di accesso, perdita, distruzione non autorizzata o accidentale).

Il GDPR stabilisce che ogniqualvolta si verifichi una violazione di dati personali, il titolare del trattamento provveda entro 72 ore dall’avvenuta conoscenza a darne notizia all’Autorità di controllo.

In Italia, i titolari del trattamento comunicano, tramite posta elettronica o posta certificata, l’avvenuta violazione compilando il modello disponibile sul sito del Garante Privacy.

L’Autorità italiana ha reso noto che prossimamente sarà possibile inviare la notifica di cui all’art. 33 GDPR tramite un’apposita procedura online in luogo delle modalità attualmente previste.

Già nel 2018, l’allora Gruppo di Lavoro ex Articolo 29 (oggi EDPB) aveva adottato delle Linee guida in materia di notifica delle violazioni di dati personali (WP 250 rev.01) in cui venivano illustrati gli obblighi di titolari e di responsabili del trattamento in caso di violazioni e i principali adempimenti. Le Linee guida adottate nella prima metà del mese di gennaio 2021 intendono arricchire i contenuti di quanto già pubblicato a ridosso della piena applicabilità del GDPR fornendo degli esempi pratici maggiormente dettagliati.

L’obiettivo delle recenti Linee guida

Partendo dai casi più frequenti di  notifiche ricevute negli ultimi due anni dalle diverse Autorità di controllo europee, il Comitato si prefigge l’obiettivo di supportare i titolari del trattamento non soltanto nel momento in cui l’incidente si sia verificato ma, soprattutto, nella fase precedente di valutazione dei rischi e delle potenziali minacce e dell’adozione di adeguate misure di prevenzione.

Gli esempi riportati sono relativi a ransomware, esfiltrazioni, fonti umane, furto o perdita di dispositivi e di documenti cartacei.

Pertanto, le Linee guida potrebbero essere organizzate in due macro categorie: fonti di rischio esterne e fonti di rischio interne.

Per ciascuna di queste macro categorie, il Comitato riporta degli esempi fittizi grazie ai quali, modificando le variabili dell’evento come la tipologia e la quantità di dati oggetto di violazione, riesce a fornire un quadro sufficientemente chiaro delle attività che il titolare deve compiere: dall’analisi del contesto in cui si verifica la violazione, passando per le misure da adottare per ridurre i danni, fino alla notifica all’Autorità e, se del caso, agli interessati colpiti dal data breach (come prescritto dall’art. 34 GDPR).

Naturalmente, viene precisato che trattandosi di casi di scuola, al verificarsi di una violazione, il titolare dovrà valutare le azioni da porre in essere sulla base del caso concreto senza poter ricondurre l’incidente in uno degli esempi riportati nel documento.

Il Board si spinge oltre: per ciascuna delle tipologie riportate fornisce un elenco di misure da adottare per prevenire e ridurre il rischio che violazioni di dati possano verificarsi partendo da piccole cautele fino a misure più articolate.

Esempi di fonti di rischio interne

Con riferimento alle fonti di rischio interne, l’EDPB riporta alcuni casi di comuni errori umani e comportamenti posti in essere da dipendenti infedeli.

  • Nell’ipotesi in cui venga richiesta telefonicamente la modifica di alcuni dati personali, come l’indirizzo email per ricevere la fatturazione (come riportato all’esempio n. 17), l’operatore deve accertarsi dell’identità del soggetto che formula la richiesta per poter procedere alla modifica. In questi casi, però, non basta rivolgere al cliente delle domande generiche le cui risposte potrebbero essere facilmente conoscibili da chiunque quanto, piuttosto, richiedere informazioni presenti sulla precedente fattura (accessibile solo al diretto interessato), oppure provvedere all’invio di una email di conferma al precedente indirizzo registrato nei sistemi del titolare. Nel momento in cui il titolare viene a conoscenza dell’avvenuta modifica di dati senza una verifica certa dell’identità del richiedente, oltre alla compilazione del registro interno per documentare l’incidente, dovrà inviare notifica all’Autorità di controllo e informare l’interessato di quanto accaduto.
  • Nel caso in cui un ex dipendente invii delle comunicazioni utilizzando i recapiti dei clienti cui aveva accesso nello svolgimento della sua attività lavorativa per informarli della sua nuova attività di business (come riportato all’esempio n. 8), si verifica una perdita di confidenzialità in quanto i dati vengono utilizzati per finalità diverse da quelle per cui sono stati raccolti. Essendo molto complesso prevenire tali tipologie di violazioni, il titolare potrebbe prevedere una specifica clausola nel contratto che vieti tali operazioni oppure potrebbe limitare l’accesso ai dati nel momento in cui il dipendente segnala di volersi licenziare. Al verificarsi del fatto, una diffida dall’utilizzare ulteriormente quei dati potrebbe essere una misura che il titolare decide di adottare nell’immediato per mitigare i rischi.
  • Qualora per errore venga allegato un file con numerosi dati personali di natura comune all’interno di una mail (come riportato all’esempio n. 14) e inviato a soggetti non autorizzati a conoscere quelle informazioni, il titolare appena si rende conto dell’accaduto dovrebbe richiedere a ciascun destinatario di provvedere alla cancellazione del messaggio, sebbene tale richiesta potrebbe non essere sufficiente dal momento che non sarebbe in grado in alcun modo di verificare l’avvenuta cancellazione da parte di ciascuno. Nel similare esempio riportato al n. 15 (avente ad oggetto dati particolarmente sensibili), l’EDPB raccomanda ai titolari di inviare, utilizzando il campo di “copia nascosta” (c.d. “bcc”), la comunicazione con richiesta di cancellazione del messaggio unitamente all’avviso di non utilizzare i dati ricevuti per errore per qualsiasi altra finalità.

Tra le misure consigliate dal Board per prevenire e ridurre il rischio di incidenti che possono determinare violazioni di dati, con riferimento agli errori nell’invio delle email si collocano:

  • istruzioni puntuali al personale su come inviare le email;
  • inserimento by default degli indirizzi nel campo bcc quando una email abbia più destinatari;
  • richiesta di una ulteriore conferma nell’invio della mail a più destinatari che non siano stati inseriti nel campo bcc;
  • organizzazione di una sessione di formazione sugli incidenti più frequenti derivanti dagli errori più comuni;
  • disattivazione del completamento automatico durante la scrittura di una email.
Esempi di fonti di rischio esterne

Tra le fonti di rischio esterne è possibile annoverare le tipologie di minacce estranee alla struttura di riferimento. In genere si tratta di azioni intenzionali e malevole, mirate a sottrarre dati e informazioni ma può trattarsi anche di eventi – non causati da un agente esterno – che determinano un rischio per i dati e le informazioni.

In riferimento a tali fonti di rischio il Board si sofferma su ipotesi di utilizzo di ransomware e su tentativi di esfiltrazione di dati da siti web.

  • Negli ultimi due anni sono state numerose le notifiche di data breach pervenute alle Autorità di controllo a causa di attacchi informatici effettuati con l’utilizzo dei cosiddetti ransomware. Si tratta di codici malevoli che hanno la caratteristica di criptare dati personali e informazioni e renderli irraggiungibili se non dietro il pagamento di un “riscatto” (ransom) per ricevere la chiave di decriptazione. Questa tipologia di attacco solitamente comporta una perdita di disponibilità dei dati, ma può determinare anche un accesso non autorizzato agli stessi. Si tratta di casi di violazioni molto comuni i cui effetti, tuttavia, possono essere fortemente mitigati con l’adozione di appropriate misure di sicurezza. Ad esempio (come riportato nel caso n. 1), ove il titolare adotti misure preventive di criptazione dei dati e preveda un sistema di backup dei dati è possibile evitare tanto il rischio di esfiltrazione quanto quello della perdita di disponibilità. L’attaccante in questo caso non potrà avere accesso ai dati per via delle misure di criptazione e, inoltre, grazie alle copie di backup, il titolare sarà in grado di ripristinare la disponibilità.

Nell’esempio riportato l’EDPB ricorda che l’adozione di adeguate misure di sicurezza informatiche può essere fondamentale nel distinguere i casi di attacchi informatici che richiedono una successiva notifica da quelli, invece, che non richiedono adempimenti ulteriori.

Tuttavia, il ripristino della disponibilità dei dati dalle copie di backup può richiedere dei tempi di recovery variabili. Durante questa fase le informazioni possono essere non disponibili. In questo caso, anche ove non vi sia stato un accesso non autorizzato, l’indisponibilità temporanea dei dati può comportare il sorgere di un obbligo di notifica qualora da essa derivi un pregiudizio apprezzabile per gli interessati ad esempio un ritardo nella fornitura di un servizio).

  • Gli attacchi informatici finalizzati al furto di dati attraverso siti internet sono un fenomeno comune e ricorrente. La differenza rispetto agli attacchi a mezzo ransomware è costituita dalla finalità: l’obiettivo è quello di sottrarre informazioni come ad esempio dati personali o informazioni relative a carte di credito. I rischi correlati a tali tipi di attacchi concernono in particolare la riservatezza delle informazioni anche se in molti casi è possibile che si verifichi anche una potenziale perdita di disponibilità. In queste situazioni, poiché non è possibile adottare misure per scongiurare eventuali attacchi informatici, è fondamentale che il titolare si focalizzi sulla messa in sicurezza della struttura complessiva. Ad esempio, i sistemi devono essere costantemente aggiornati, i dati sensibili devono essere crittografati e si devono adottare elevati standard di sicurezza per l’autenticazione e meccanismi di backup automatico.

Nel caso in cui i sistemi siano presi di mira da un attacco informatico (come nell’esempio n. 5), come prima cosa il titolare deve effettuare una comparazione tra il database oggetto di intrusione e la copia di esso salvata nel backup. Dopo aver ripristinato il database, assestato le vulnerabilità e adottato misure volte a scongiurare il ripetersi di situazione analoghe, sarà opportuno procedere ad appositi audit di sicurezza.

Sotto il profilo degli adempimenti imposti dalla normativa in materia di protezione dati personali, qualora vi sia stata effettivamente un’esfiltrazione di dati, il titolare dovrà procedere con la notifica all’Autorità competente ai sensi dell’art. 33 GDPR nonché – qualora i dati sottratti non siano protetti da crittografia e ciò determini una perdita di confidenzialità degli stessi – con la notifica agli interessati a norma dell’art. 34 GDPR.

Il Board fornisce un elenco (non esaustivo e meramente esemplificativo) di misure tecniche per prevenire e mitigare gli effetti di potenziali attacchi informatici:

  • adottare adeguate misure di criptazione dei dati e di gestione delle password, sopratutto quando il trattamento ha ad oggetto dati sensibili o finanziari;
  • mantenere costantemente aggiornati i sistemi e tenere traccia di tali aggiornamenti, di modo da poter dimostrare la compliance con il principio di accountability di cui all’art. 5, par. 2 del GDPR;
  • fare ricorso a strumenti di autenticazione “forti” (ad esempio l’autenticazione a due fattori) e adeguate policy di gestione e aggiornamento delle password;
  • condurre audit e assessment periodici per verificare la costante adeguatezza delle misure;
  • mantenere aggiornate le copie di backup in modo assicurarsi la possibilità di procedere rapidamente al recovery dei dati e delle informazioni.

Il documento attualmente in consultazione, per quanto non rivesta un carattere vincolante, si rivela particolarmente utile per tutti i soggetti tenuti all’applicazione del GDPR. In particolare, gli spunti, le riflessioni e le misure pratiche descritte nelle Linee guida possono essere d’aiuto ai soggetti sprovvisti di un responsabile per la protezione dei dati e che necessitano di indicazioni concrete su come orientare i propri comportamenti in un’ottica di accountability. Sempre nell’ottica di fornire supporto e semplificare gli adempimenti di titolari e responsabili del trattamento, il Garante Privacy ha recentemente pubblicato uno strumento di autovalutazione che consente di verificare, in pochi passaggi, se si sia verificata una violazione di dati e quali siano le conseguenti azioni da intraprendere.

Ciò che emerge con forza dalle Linee del Board è che, nonostante non sia possibile eliminare alla radice il rischio di breaches, l’adozione di misure di sicurezza parametrate sul rischio concreto e sulle effettive attività e modalità del trattamento, può eliminare o comunque attenuare fortemente le conseguenze negative di tali violazioni.

Giova infatti ricordare che il GDPR ha definito un quadro sanzionatorio particolarmente severo, che può portare all’irrogazione di sanzioni che possono raggiungere importi molto elevati. La concreta quantificazione di una sanzione per violazione della normativa in tema di privacy passa anche dalla valutazione delle misure tecniche e organizzative adottate per prevenire e limitare le conseguenze pregiudizievoli dei breaches. In questo senso, la dimostrazione dell’implementazione di misure adeguate è un elemento centrale nella valutazione delle Autorità competenti dell’importo della sanzione.

Come partecipare alla consultazione

Le Linee guida resteranno in consultazione fino al 2 marzo 2021. Chiunque voglia far pervenire il proprio contributo può farlo compilando l’apposito form online.

Author elex

More posts by elex