Come per il caso di attacco informatico, anche in caso di data breach causato dalla perdita di dispositivi informatici contenenti dati personali scattano degli obblighi in capo al titolare del trattamento. Scopriamo quali.
Data breach: quando notificarlo?
L’EDPB (Comitato europeo per la protezione dei dati), nelle sue linee guida, offre una serie di casi atti a capire quando sia necessario fare la notifica al garante e quando agli interessati, sottolineando che in questi casi il titolare del trattamento deve prendere in considerazione le circostanze del trattamento, ossia il tipo di dati memorizzati sul dispositivo, i beni di supporto e le misure adottate prima della violazione per garantire un adeguato livello di sicurezza.
Quanto appena detto influisce sul livello di potenziale impatto che può avere la violazione dei dati, per questo la valutazione del rischio potrebbe risultare alquanto complicata.In ogni caso, questo tipo di violazione è sempre classificata come violazione della confidenzialità dei dati, ma nel caso di mancato backup rientrerebbe anche nel tipo di violazione della disponibilità degli stessi.
Come per i ransomware, per gli attacchi informatici e per i rischi derivanti da fonte umana, le linee guida dell’EDPB offrono degli esempi.
Un esempio: furto di tablet contenente dati crittografati [Data Breach]
Il primo caso riguarda il tablet di proprietà di un asilo nido. Detto tablet, usato per questioni amministrative e di gestione dei dati relativi ai bambini iscritti, contiene un’App nella quale sono salvati i dati anagrafici e i dati relativi all’istruzione dei bambini iscritti all’asilo nido; quindi, oltre a dati personali, si potrebbe trattare anche di dati particolari riguardanti eventuali disabilità, ma soprattutto si tratta di dati di minori.
Sia il tablet sia l’App erano protetti da password, quindi l’accesso ai dati era doppiamente protetto. A seguito della scoperta del furto è stata attivata la funzione di formattazione da remoto del tablet e i dati sono stati recuperati tramite backup.
In questo caso, la riservatezza dei dati non è stata violata, sia perché l’accesso agli stessi era protetto da una doppia password sia perché con la formattazione del dispositivo il recupero dei dati viene ampiamente limitato.
Invece, con riguardo alla disponibilità non vi è stata violazione, in quanto i dati sono stati recuperati tramite backup.
Come conseguenza del fatto, oltre la solita annotazione nel registro dei data breach, non è necessaria né la notifica al garante privacy né la notifica agli interessati (ossia ai genitori dei bambini) in quanto, anche se vi è stata una perdita di dati conseguente al furto del device, l’integrità e la disponibilità dei dati non è stata persa e, inoltre, grazie alla doppia password e al comando di formattazione da remoto tali dati non sono stati diffusi.
Un altro esempio: furto di Notebook contenente dati non crittografati [Data Breach]
In altre parole: il caso letteralmente opposto rispetto al furto del tablet di un asilo nido! Si tratta del furto di un PC portatile di un dipendente di una società di servizi, al cui interno erano conservati dati personali di oltre 100˙000 clienti (nome, cognome, data di nascita, indirizzo e sesso). A causa dell’indisponibilità del dispositivo non è stato possibile capire se al suo interno vi fossero anche altre categorie di dati. Il PC non era protetto da password, di conseguenza l’accesso ai dati risulta molto facile da parte del ladro, ma grazie alla presenza di backup giornalieri i dati potrebbero essere ripristinati in poco tempo.
In questo caso, visto il grande numero di soggetti interessati coinvolti e la grande quantità di dati rubati, oltre al fatto che di tali dati il ladro può liberamente disporne in quanto non vi era nessuna protezione al PC, è necessaria la notifica al Garante privacy e la notifica agli interessati, soprattutto a causa del fatto che dalla tipologia di dati rubati possono subire gravi violazioni dei loro diritti e libertà (in particolare possono subire un furto di identità).
Mitigazione del rischio [Data Breach]
Per evitare di incorrere nelle più gravi conseguenze di simili episodi, qualche soluzione in effetti c’è. Nel primo caso il rischio, già in precedenza del furto, era stato mitigato, in quanto la doppia password per l’accesso ai dati e il comando di formattazione da remoto non hanno prodotto grossi impatti sia per il titolare (salvo per il danno economico, che però esula dal contesto privacy) sia per gli interessati, i quali hanno non hanno subito ripercussioni notevoli dal furto.
Nel secondo caso, invece, il rischio non era per nulla mitigato. La presenza di un PC (o di un altro dispositivo di archiviazione dati) non protetto da password o da altri sistemi di protezione, genera un elevato rischio di data breach. Nel caso esaminato si è trattato di dati di oltre 100˙000 persone e il fatto è stato aggravato dall’impossibilità di stabilire quali categorie di dati fossero effettivamente state sottratte.
Le azioni che avrebbe dovuto intraprendere il titolare del trattamento (del secondo caso) avrebbero dovuto prevedere il caso di furto/smarrimento di dispositivi di archiviazione e, quindi, prevedere una loro protezione con (come minimo) una password di accesso, poi, tenendo conto della quantità e qualità dei dati memorizzati adottare ulteriori misure di sicurezza, quali la criptazione dell’hard disk, il salvataggio dei dati esclusivamente in cloud, un comando di formattazione da remoto (come per il primo caso) e altri ancora.
Il discrimen, in questi casi, è dato dall’analisi dei rischi che deve essere effettuata sulla base dei dati, della loro tipologia e delle possibili conseguenze per gli interessati. Prendere sottogamba la protezione dei dati comporta rischi per il titolare e per gli interessati notevoli, sia sul piano della reputazione sia sul piano della sanzione.
Riccardo Ajassa è Dottore in giurisprudenza. Dal 2018 è Consulente della privacy e studia la normativa in materia di protezione dei dati personali. Dopo aver visto moltissime realtà e aumentato la sua esperienza in campo privacy, da alcuni mesi si sta specializzando anche in tema di cyber security.