Fermi tutti! C’è stato un Data Breach. La prima regola è: niente panico!
Poi, cerchiamo di capire cos’è successo, e di mettere in pratica tutte le azioni necessarie.
Il Data Breach è la bestia nera nel mondo della protezione dei dati. È ciò che non dovrebbe mai accadere, ma avviene più spesso di quanto si pensi.
Secondo gli articoli 33 e 34 del GDPR il Data Breach è: “una violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati”.
In qualche modo i dati che avevamo raccolto per necessità di lavoro e che avremmo dovuto proteggere sono stati divulgati in modo scorretto o persi. Può essere una mail con dati sensibili inviata all’indirizzo sbagliato, o un hacker che è entrato nei nostri server e ha copiato credenziali e indirizzi dei nostri clienti.
In entrambi i casi è un Data Breach, ma ovviamente cambia la gravità e di conseguenza cambiano le azioni da mettere in campo.
La Gestione del Data Breach: 72 ore per mettersi al riparo
La prima cosa da fare è valutare l’entità della violazione. Entro 72 ore dalla scoperta del breach, questa deve essere notificata al garante e all’interessato, ma solo se si presentano rischi effettivi per i diritti e le libertà delle persone fisiche coinvolte nella violazione.
È quindi necessario per il Titolare di trattamento valutare attentamente la portata di quanto accaduto coinvolgendo il DPO fin dai primissimi istanti. Questo è il momento più delicato, perché ci si muove sul filo della lama. Da un lato, una mancata comunicazione potrebbe peggiorare la situazione e attirare sull’azienda le ire del garante con le relative multe; dall’altro una comunicazione non necessaria potrebbe comportare un danno d’immagine e di reputazione.
Quest’ultima parte è un timore concreto di molti Ceo e amministratori, ma è vera fino a un certo punto. L’atteggiamento di trasparenza e di onestà è oggi molto apprezzato dagli utenti, e potrebbe far aumentare la fiducia nell’azienda.
Se alla fine dell’indagine sulla natura e la portata della violazione si ritiene necessaria la notifica, questa va fatta al garante, descrivendo la natura dell’infrazione, i contatti coinvolti, le probabili conseguenze e quali saranno le misure adottate per arginare il danno.
Non ultimo: è necessario compilare il registro dei casi dei data breach e adottare un protocollo di risposta.
Violazione dei dati: prevenire è meglio che curare
Rubiamo questa frase ai dentisti, perché la prevenzione non solo evita carie e tartaro, ma minimizza i rischi del breach.
La cosa più importante è aver lavorato bene in fase di progettazione della sicurezza dell’azienda. Se si è operato secondo i principi della Privacy by design molto probabilmente la struttura sarà già pronta a reagire in modo veloce e lineare per attutire i rischi. Come abbiamo già visto parlando di accountability, anche tenere un atteggiamento proattivo, che guarda avanti e indaga in anticipo le mosse del destino (come in una partita a scacchi), aiuta ad evitare la catastrofe.
La compilazione del registro dei casi di data breach, oltre ad essere un obbligo di legge, permette di avere un utile storico per valutare quali sono le possibili falle e vulnerabilità del sistema e capire quali test periodici effettuare per verificare la validità del protocollo.
Pochi Hacker all’orizzonte
Quando si pensa al data breach la mente subito corre all’immagine dell’hacker che buca sistemi informatici digitando dati a velocità incredibile sulla tastiera per rubare password e conti correnti di poveri utenti.
Certo, questo accade, ma la maggior parte dei data breach che riguardano aziende di medie e grandi dimensioni sono causati da errori umani, principalmente dei dipendenti. Che sia la mancata collocazione dei dati in un luogo effettivamente sicuro, o la trasmissione di dati personali alla persona sbagliata, sono tante le prassi aziendali errate che causano violazioni, magari di piccola entità, ma che spesso non vengono neanche riconosciute come tali.
Il registro è vuoto: ma siamo davvero così bravi?
Siamo onesti: è impossibile che un’azienda non abbia mai avuto un data breach! Che siate un piccolo laboratorio artigianale o una grande società di telecomunicazioni o di sanità, qualcosa è sicuramente successo.
Bisognerebbe capire se chi ha commesso o è entrato in contatto con la violazione si è accorto di averla fatta o vista. Magari dopo aver inviato la mail al destinatario sbagliato si è affrettato a riscrivere alla persona chiedendo di cestinare la mail, e dopo aver ricevuto risposta positiva ha considerato chiuso il fatto: nessun bisogno di registrazione.
O ancora una telefonata che non andava fatta, oppure, per velocizzare una pratica, la richiesta ad un cliente dell’invio di alcuni dati sul proprio cellulare personale.
Sono tante le situazioni, sicuramente a basso rischio, che sono configurabili come data breach. In ogni caso, anche se non c’è notifica per il garante, il registro va compilato.
È importante avere un documento sempre aggiornato: il registro dei casi non dev’essere visto come “il quaderno della vergogna”, ma come uno storico degli eventi su cui valutare come migliorare.
Nel GDPR, come nella legge italiana, l’ignoranza non è una scusante. I dipendenti devono essere istruiti, attraverso dei corsi, per saper riconoscere un data breach. Se questo non avviene, le responsabilità possono essere dei titolari (se non hanno fatto fare i corsi ai dipendenti), o dei dipendenti (se hanno fatto i corsi ma non hanno seguito).
