9/10 In caso di violazione dei dati, so come comportarmi?
di Alessandro Curioni
Spesso le organizzazioni non hanno ben chiaro cosa sia un data breach e nel loro immaginario si riduce alla divulgazione di dati, come quelle subite da Yahoo! Nel 2012 e nel 2013. In realtà il Regolamento offre una definizione più ampia descrivendolo come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Un incauto utente che modifica erroneamente un database o un malware che crittografa una cartella di rete diventano entrambe potenziali violazioni dei dati personali che, secondo le previsioni dell’articolo 33, il titolare deve notificare.
La domanda è molto semplice: come si può strutturare un processo di gestione degli incidenti in modo da essere ragionevolmente conformi ai requisiti della norma? La questione risulta talmente spinosa che il Gruppo di lavoro dell’Articolo 29 (Article 29 Data Protection Working Party, quello che diventerà il comitato europeo delle Autorità Garanti) ha prodotto delle linee guida in materia che forniscono materia di riflessione.
In primo luogo, viene evidenziato che il ciclo di vita di un incidente può essere molto lungo. L’esempio è legato a una violazione di riservatezza di dati crittografati, un caso in cui non dovrebbe essere necessaria la comunicazione. Tuttavia, se in futuro il titolare dovesse perdere il controllo della chiave di cifratura oppure l’algoritmo si rivelasse vulnerabile, ecco come il tema della notifica per quello stesso incidente tornerebbe d’attualità.
Un secondo aspetto è legato alla distinzione tra «rischio» e «alto rischio». La lettura della norma evidenzia come nel primo caso il data breach deve essere portato alla conoscenza dell’autorità garante, nel secondo l’informazione dovrebbe essere estesa agli interessati coinvolti. Questo determina la necessità di effettuare per ogni incidente un’analisi d’impatto per categorizzarlo correttamente.
Proprio il tema della classificazione della gravità dell’incidente viene affrontato piuttosto in profondità e sono evidenziati quelli che dovrebbero essere i criteri di cui tenere conto nella valutazione.
La caratteristica della sicurezza del dato a essere violata (integrità, riservatezza o disponibilità), la natura e la quantità di dati coinvolta, la facilità con cui possono essere identificati gli interessati, la gravità delle conseguenze che potrebbero subire, il numero delle vittime e le particolari caratteristiche del titolare.
Quest’ultimo aspetto è determinante, poiché a parità di tutti gli altri indicatori potrebbe diventare il vero discrimine e della valutazione. Per esempio, la violazione della riservatezza delle anagrafiche di centomila abbonati a un giornale avrà un rischio per i soggetti coinvolti nettamente inferiore a quello che deriverebbe se la stessa base dati fosse stata detenuta da un ospedale.
© Riproduzione riservata