Il 14 dicembre 2021, l’European Data Protection Board (ex Working Party 29) ha adottato le sue nuove Guidelines 01/2021 on examples regarding personal data breach notification.
Le recenti Linee guida integrano quelle già adottate dal WP29 nel 2017 (“Guidelines on personal data breach notification under Regulation 2016/679”), con le quali il Board aveva già fornito delle indicazioni di ordine generale sulla classificazione e gestione delle violazioni dei dati (in inglese, “data breach”).
La disciplina sui data breach ai sensi del GDPR
Preliminarmente, l’EDPB richiama la disciplina generale dettata dal Regolamento UE 679/2016 (cosiddetto “GDPR”) in materia di violazione dei dati personali.
Nello specifico, l’art. 4, par. 1, n. 12 del GDPR definisce un data breach come la “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Già nella sua Opinion 03/2014 e nelle summenzionate linee guida del 2017, il WP29 aveva avuto modo di chiarire che le violazioni possono distinguersi in:
-
violazione della riservatezza, quando occorre una divulgazione non autorizzata o accidentale ovvero l’accesso a dati personali;
-
violazione dell’integrità, quando occorre un’alterazione non autorizzata o accidentale dei dati personali;
-
violazione della disponibilità, quando c’è una perdita accidentale o una non autorizzata perdita all’accesso ovvero distruzione di dati personali.
In tali casi, alla luce delle prescrizioni contenute nel GDPR, il titolare del trattamento dovrebbe prontamente attivarsi per valutare gli effetti prodotti dalla violazione e le relative azioni da intraprendere al fine di mitigare detti effetti. A valle di tali operazioni, poi, occorre notificare l’accaduto all’autorità competente (in Italia, l’Autorità garante per la protezione dei dati personali) – salvo che il breach non rappresenti un rischio per i diritti e le libertà degli interessati -, nonché comunicare lo stesso agli interessati (anche in questo caso, solo qualora ci sia un rischio elevato per i diritti e le libertà dei soggetti coinvolti).
In ogni caso, il titolare è tenuto a documentare la violazione, indipendentemente dal rischio per i diritti e le libertà degli interessati (per esempio, tenendo un apposito registro delle violazioni e degli incidenti di sicurezza).
Le casistiche esaminate dall’EDPB
Tanto premesso, l’EDPB, nelle Linee guida in commento, si è soffermato su talune circostanze, che, frequentemente, causano violazioni di dati, fornendo sia casistiche esemplificative sia le misure preventive da adottare e le eventuali azioni per mitigare i danni in caso di breach, nonché, infine, le opportune misure tecniche e organizzative da implementare nell’ambito della struttura del titolare.
Ransomware
Una causa frequente di violazione dei dati è un attacco ransomware: in questo caso, l’“aggressore” cripta i dati attraverso un codice maligno e, successivamente, chiede al titolare un riscatto come prezzo del codice di decrittazione.
Questo tipo di attacco può di solito essere classificato come una violazione della disponibilità dei dati o, se del caso, di riservatezza.
A tale proposito, l’EDPB adduce diverse casistiche, distinguendo a seconda che il titolare abbia o meno un backup dei dati criptati ovvero che vi sia stato o meno l’esfiltrazione degli stessi.
Il fatto che un attacco ransomware possa aver avuto luogo è solitamente un segno di una o più vulnerabilità dei sistemi e, indipendentemente dalle conseguenze dell’attacco, il titolare dovrebbe adottare tutte le misure di sicurezza – sia tecniche sia organizzative – atte ad affrontare evenienze di questo tipo.
Tra le misure tecniche sicuramente rientra il costante aggiornamento del firmware, del sistema operativo e del software applicativo sui server, le macchine client e, in generale, tutti i componenti di rete attivi e qualsiasi altra macchina su LAN, nonché l’adozione di una procedura di backup e un software anti-malware aggiornati, sicuri e testati.
Dal punto di vista organizzativo, cruciale risulta la formazione dei dipendenti (soprattutto quelli che trattano dati cosiddetti “sensibili”) sui metodi di riconoscimento e prevenzione degli attacchi informatici, nonché la pianificazione di test di vulnerabilità e penetrazione su base regolare e la creazione – soprattutto nell’ambito di realtà aziendali complesse – di un computer security incident response team o computer emergency response team.
Infine, il titolare dovrebbe adottare dei piani di incident response, disaster recovery e business continuity, assicurandosi che questi siano accuratamente testati.
Esfiltrazione dei dati
Gli attacchi di esfiltrazione, come quelli ransomware, sfruttano le vulnerabilità dei sistemi del titolare, ma, di solito, mirano a copiare, esfiltrare e usare i dati personali per fini illeciti.
Pertanto, di norma, tali attacchi sono classificati come violazioni della riservatezza e, eventualmente, anche dell’integrità dei dati.
A tale proposito, le misure tecniche consigliate dell’EDPB sono, ad esempio, utilizzare sistemi di crittografia e gestione delle chiavi (specialmente quando si trattano password, dati sensibili o finanziari) e preferire l’uso di metodi di autenticazione che evitano la necessità di elaborare le password sul lato server, nonché di metodi di autenticazione forti (come l’autenticazione a due fattori e i server di autenticazione).
Lato organizzativo, il titolare dovrebbe adottare delle policy di gestione dei privilegi degli utenti e di controllo degli accessi in atto, nonché programmare ed effettuare verifiche sistematiche della sicurezza IT e valutazioni e test della vulnerabilità.
Errore e accadimenti umani
Il Board si sofferma, inoltre, su tutti quegli accadimenti – volontari e non – causati da comportamenti umani che, nella pratica, portano spesso a violazioni di dati personali: si pensi, a titolo esemplificativo, all’esfiltrazione di dati da parte di un dipendente o all’invio accidentale – tramite email – di dati a soggetti non autorizzati o ancora alla perdita di device e documenti contenenti dati.
Si consideri che la necessità di affrontare i fattori umani nella prevenzione dei data breach è stata inoltre evidenziata dall’International Conference of Data Protection and Privacy Commissioners del 2019, che ha adottato una risoluzione contenente, tra l’altro, un elenco non esaustivo delle opportune safeguards da adottare.
Quando si parla di errore umano, è evidente che la misura organizzativa più importante da adottare è costituita dalla programmazione di piani di formazione e sensibilizzazione periodica del personale che opera nella struttura del titolare. In tale contesto, focale risulta l’apporto del Data Protection Officer eventualmente nominato dal titolare, che, ai sensi dell’art. 39, par. 2, lett. b), è il soggetto deputato alla “sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.
Il personale dovrebbe essere istruito, in particolare, sulle procedure adottate al fine di implementare sistemi solidi ed efficaci di protezione dei dati e della sicurezza dei sistemi. Per esempio, tali procedure dovrebbero prendere contenere:
-
adeguate policy di controllo di accesso ai sistemi;
-
regole per la disabilitazione dell’account aziendale non appena la persona lascia l’azienda;
-
meccanismi di controllo del flusso di dati insolito tra il file server e le stazioni di lavoro dei dipendenti.
Dal punto di vista tecnico, invece, il titolare dovrebbe considerare e implementare, by design, delle logiche per un corretto uso dei device, quali:
-
disabilitare la funzione di stampa dello schermo nel sistema operativo;
-
applicare una politica di clean desk;
-
bloccare automaticamente tutti i computer dopo una certo tempo di inattività;
-
usare meccanismi (per esempio token) per accedere/aprire account bloccati;
-
attivare la crittografia del dispositivo (come Bitlocker, Veracrypt o DM-Crypt);
-
usare una VPN sicura (per esempio, che richiede una chiave di autenticazione a secondo fattore separata per stabilire una connessione sicura) per collegare i dispositivi mobili ai server di back-end.
-
applicazione del ritardo nell’invio del messaggio (per esempio, il messaggio può essere cancellato/modificato entro un certo periodo di tempo dopo aver cliccato il pulsante di invio);
-
disabilitazione del completamento automatico quando si digitano gli indirizzi e-mail.
Ariella Fonsi