Teresella Consonni
Si vedono i primi effetti dell'entrata in vigore del GDPR: Dal 25 maggio scorso i reclami sono aumentati del 42 per cento e sono 305 le segnalazioni di data breach o violazione del dato. Teresella Consonni mostra l'utilità di un processo organizzativo di prevenzione alla violazione del dato.
In Italia crescono con rapidità reclami e segnalazioni al Garante Privacy. Sono stati 2.547, con un notevole aumento – pari al 42 per cento - nel periodo dal 25 maggio al 27 settembre 2018 rispetto allo stesso periodo dello scorso anno (dati diffusi a cura del Garante Privacy). Le cifre riferite a soli quattro mesi dimostrano uno sviluppo accelerato di attenzione al Regolamento generale sulla protezione dei dati personali ovvero Regolamento europeo 2016/679 e l’avvio dell’adeguamento alle nuove normative da parte del mercato.
Un fenomeno - quello di reclami e segnalazioni in crescita - condiviso da altre Autorità europee, come la francese e la britannica, che affrontano i risultati di una consapevolezza differente riguardo la protezione dati, innescata forse anche da scandali come quello Facebook-Cambridge Analytics che hanno conquistato la pubblica attenzione.
Anche le 305 segnalazioni inoltrate al Garante di violazione del dato o data breach che hanno interessato più di 330.000 persone nello stesso periodo di 4 mesi (dal 25 maggio al 27 settembre 2018) testimoniano una differente sensibilità e soprattutto la rilevanza del tema. Con l’entrata in vigore del GDPR, infatti, è obbligatoria la segnalazione (breach notification) di violazione del dato (o data breach) all’Autorità - entro 72 ore - da parte di soggetti, imprese o pubbliche amministrazioni. Di conseguenza l’Autorità deve aprire un fascicolo per monitorare e verificare in tempo reale come si sviluppa la situazione di violazione denunciata con le valutazioni finali del caso.
Nello stesso periodo di quattro mesi di rilevazione nel 2017 le segnalazioni di data breach inoltrate al Garante Privacy erano state poche decine, in quanto - prima dell’entrata in vigore del Regolamento europeo 2016/679 - erano soltanto le Telco e le Pubbliche Amministrazioni a dovere denunciare i data breach, mentre ormai, nella nuova condizione di protezione del dato a norma del GDPR, tutte le organizzazioni si devono adeguare alla normativa del Regolamento Europeo 2016/679. E un caso in particolare, nel nostro Paese, ha riscosso notevole attenzione da parte dei media: la violazione denunciata dalla piattaforma Rousseau.
È necessario per gli operatori valutare in via preventiva il processo di analisi della violazione del dato per capire anche quando sia indispensabile la notifica di violazione dei dati personali al Garante. In uno scenario web di attacchi costanti da parte di hacker e di soggetti male intenzionati alla ricerca di dati a loro esclusivo vantaggio non è forse possibile eliminare completamente il rischio di una violazione del dato, ma un approccio organizzativo preventivo, ben strutturato e attento ai processi, può ridurre la probabilità di attacchi o intrusioni o perdita dei dati ed essere utile per mitigare le conseguenze di un data breach che si è dovuto decidere, in base alla normativa, di denunciare al Garante.
Un modello di analisi della violazione del dato permette di valutare la necessità di notificare la violazione dei dati personali al Garante e agli interessati qualora il rischio per gli stessi risulti elevato. L’adozione di precauzioni e rimedi non rappresenta l’unico elemento da tenere in considerazione per una risposta efficace in caso di violazione dei dati personali ma la risposta a una violazione del dato dovrebbe essere considerata come un processo organizzativo: necessitano referenti designati, fasi preventivate, metodologie di analisi testate e output esplicitati, non solo per decidere - in 72 ore - “se fare notifica al Garante” (breach notification), ma quali possano essere misure di mitigazione da realizzare, per una organizzazione e per un soggetto interessato dalla violazione, in modo da ridurre rischi e conseguenze della violazione intervenuta per i dati personali coinvolti. Due necessità organizzative si rivelano indispensabili nel processo di prevenzione: attività di formazione sul tema specifico nella organizzazione e realizzazione di un gruppo di lavoro data breach.
Tre in particolare sono le macro-categorie di violazione del dato o data breach da tenere presenti:
Il processo di valutazione preventiva di un data breach consente a una organizzazione di valutare rischi per i dati personali e impatti in caso di una violazione, in funzione delle misure di sicurezza adottate sui sistemi, della tipologia dei dati trattati e del livello di identificabilità dei dati trattati. Al termine di un processo di valutazione sarà possibile stabilire, con procedure definite e scritte ad hoc, le priorità da realizzare negli interventi di comunicazione e di mitigazione di quanto avvenuto.
In una prima fase di lavoro bisogna vagliare e stabilire una scala di valori di criticità associata alle differenti tipologie di dati personali trattati dai sistemi e dalle infrastrutture informatiche della organizzazione protagonista; poi identificare i punti di vulnerabilità potenziali e valutare rischi e impatti in caso di data breach, considerando lo stato di misure e soluzioni di sicurezza adottate a tutela dei dati. È necessario definire una soglia di accettazione del rischio e determinare le contromisure in funzione delle tipologie di data breach, della soglia di rischio e delle risorse necessarie da investire nelle contromisure da adottare in caso di violazione. Va tenuto presente, infatti, che l’Art.34, comma 3 del GDPR, alla lettera b) prevede che non è richiesta comunicazione all’interessato se il titolare del trattamento ha adottato, successivamente alla violazione, misure atte a scongiurare il sopraggiungere di un rischio elevato per diritti e le libertà degli interessati. L’ analisi del livello di rischio è perciò la fase di un processo di prevenzione che consente di reagire e mitigare le conseguenze del data breach con la massima efficienza praticabile.
Un processo organizzativo correlato al rischio di data breach potrebbe prevedere quattro fasi: preparazione, reazione, comunicazione e registro.
Una preparazione approfondita permette di valutare i livelli di rischio ai quali una organizzazione è esposta in termini di dati personali gestiti e permette di capire che cosa è possibile fare prima di essere messi alla prova. Investire in prevenzione riduce il rischio di costi esorbitanti in conseguenza dei danni prodotti dalla violazione, in funzione di un’analisi delle vulnerabilità del proprio sistema: un modo per capire dove una organizzazione potrebbe rischiare maggiormente d’incorrere in una violazione dei dati. In pratica, si può anche simulare un attacco da parte di hacker e lavorare sui piani di contrasto, in via quasi sperimentale, per essere in grado di definire - in via preventiva - quale reazione e comunicazione adottare al bisogno. Le sanzioni previste sono davvero onerose.
E’ importante attivare un “gruppo di lavoro data breach”, che deve poter contare almeno sulle competenze funzionali coinvolte: GDPR, IT, HR, Marketing, Comunicazione, Finance, responsabili del trattamento (DPO se necessario in base a quanto prescritto dal GDPR ). In effetti, si tratta proprio di competenze in quanto, considerando la struttura delle Pmi italiane, spesso queste competenze possono coincidere con poche persone. Un gruppo di lavoro per essere efficace deve potere contare su un approccio trasversale e in grado di coinvolgere una organizzazione nelle diverse funzioni e facendo leva su compiti e responsabilità precisi, ipotizzati in anticipo e precisati in procedure ad hoc.
Adeguarsi al GDPR è indispensabile per evitare sanzioni ma, in particolare, per proteggere dai rischi informatici i dati, che costituiscono in via crescente la fonte del business in tutti i settori merceologici. Oggi la situazione di adeguamento alle norme è ancora complessa, specie per quanto riguarda le piccole e medie imprese che mancano di energie economiche e di tempo da dedicare alla tematica ma, soprattutto, difettano di informazioni adeguate, di formazione in merito e di supporto esterno adeguato per calare le regole nella loro realtà.
La consapevolezza dei rischi è meno sviluppata di quanto dovrebbe essere e, in genere, la necessaria preparazione preventiva risulta insufficiente, così come la formazione in merito che difetta. Inoltre, sono sottovalutati i pericoli che si corrono in mancanza di corretti procedimenti di protezione e non sempre ci si adegua alle normative in essere. Molto è ancora il lavoro da fare: un processo è avviato ed è destinato a diventare parte integrante dell’attività di ognuno attraverso una diversa consapevolezza da porre nella protezione del dato.
Il tema della protezione del dato resta centrale nello sviluppo di ogni tipo attività e richiede attenzione permanente da parte di ognuno di noi, anche a livello personale, in particolare per chi opera nella comunicazione. Una evidenza che richiede un aggiornamento costante al riguardo e conoscenza dei mutamenti in corso.
