È ormai pacifico che la crescita di violazioni di dati all’interno delle organizzazioni, pubbliche o private, rappresenta un pericolo crescente.
Si tratta di violazioni dall’esterno (rilevate 1.872 nel rapporto Clusit anno 2021) ed altresì (qualche volta ancor più insidiosa da identificare) quelle perpetrate all’interno da dipendenti, colposamente o dolosamente.
Proprio la crescita di questo fenomeno e le Linee Guida Pubblicate dal EDPB 01/2021 ci hanno suggerito una serie di articoli sul tema, di cui questo è il primo.
Cominciamo dagli obblighi previsti dal GDPR.
Più esattamente quando si verifica un data breach, sorgono spontanei questi due quesiti:
- “Sono obbligato a notificare l’evento al Garante per la Protezione dei dati?”
- “Devo anche comunicarlo agli interessati?”
L’elemento discriminante che rende una violazione di dati “da notificare” o meno è il rischio per i diritti e le libertà degli interessati.
Ai sensi degli artt. 33 e 34 del GDPR
- la notifica all’Autorità è obbligatoria quando la violazione di dati personali ha determinato un rischio per i diritti e le libertà degli interessati.
- La comunicazione agli interessati è necessaria quando la violazione presenta un rischio elevato per i diritti e le libertà degli interessati.
Poiché la valutazione dei rischi connessi ad una violazione non è sempre agevole, l’European Data Protection Board (“EDPB”) ha pubblicato la sopra citata Linee guida 01/2021 sugli esempi di notifica del data breach proprio con l’obiettivo di assistete i Titolari del trattamento a svolgere le valutazioni del caso in modo corretto.
Partiamo oggi con il primo episodio allora, analizzando cosa può succedere e dando qualche suggerimento su quali adempimenti possono essere posti in essere.
Primo episodio: attacco ransomware su dati comuni con backup
IL FATTO
Una piccola azienda subisce un attacco ransomware sui dati di una decina di interessati (clienti e dipendenti):
- i dati sono protetti da un sistema di crittografia all’avanguardia e la chiave di decriptazione non è stata compromessa. L’aggressore ha quindi avuto accesso ai soli dati crittografati e quindi non ha potuto “leggere” le informazioni violate.
- la violazione non ha coinvolto il sistema di posta elettronica dell’azienda, né i sistemi client utilizzati per accedervi;
- l’Azienda ha a disposizione copie di backup ed è riuscita a ripristinare il servizio poco dopo l’attacco. Questo significa che i dati personali non sono andati persi, ma anzi sono rimasti nella piena disponibilità dell’azienda che ha potuto continuare a svolgere le sue attività senza particolari problemi.
- Inoltre, grazie ad un efficace tracciamento dei log di sistema, l’Azienda ha potuto verificare con certezza che l’”attaccante” non si è indebitamente appropriato dei dati personali, estraendoli o copiandoli dai sistemi dell’azienda e non li ha neppure modificati.
I rischi e le conseguenze per i diritti e le libertà degli interessati
Nel caso concreto, l’azienda ha adottato misure di sicurezza in grado di mitigare, sino quasi ad annullare del tutto i rischi per i diritti e le libertà degli interessati connessi a questa specifica violazione.
- grazie all’adozione di un sistema di tracciamento delle attività svolte sui sistemi, l’azienda ha potuto accertare che il terzo non ha compiuto alcuna attività indebita sui dati personali che sono quindi rimasti integri. Non si è quindi verificata una perdita di integrità dei dati personali colpiti dalla violazione. Diversamente, la mancata adozione di un sistema di tracciamento delle attività che vengono svolte sui dati personali avrebbe comportato l’impossibilità per l’azienda di accertare eventuali modifiche ai dati personali che avrebbero potuto comportare un rischio per i diritti e le libertà degli interessati.
- grazie all’adozione della crittografia, il terzo ha di fatto avuto accesso a dati personali “illeggibili” e di fatto inutilizzabili per altri scopi, anche illeciti. Questo significa che la riservatezza dei dati personali non è stata intaccata dal soggetto terzo che non è riuscito ad accedere ai dati personali degli interessati. Senza l’adozione di tecniche di crittografia, il terzo non autorizzato avrebbe avuto accesso ai dati personali, violandone la riservatezza e, di conseguenza, comportando un rischio per i diritti e le libertà degli interessati.
- Grazie all’adozione di una efficace politica di backup, la violazione non ha comportato l’indisponibilità dei datiche sono stati subito ripristinati dall’azienda nella loro versione più aggiornata. Senza un backup, i dati sarebbero andati persi e l’azienda avrebbe dovuto nuovamente raccoglierli con tutte le conseguenze negative per I diritti e le libertà degli interessati.
Conclusioni
In questo caso specifico, l’adozione di misure di sicurezza tecniche adeguate ha tutelato i dati personali dalla perdita di integrità, riservatezza e disponibilità dei dati personali. Diversamente, in assenza di queste misure di sicurezza, l’azienda avrebbe dovuto indagare maggiormente sulla sussistenza di rischi per gli interessati. e valutare di conseguenza la Necessità di procedere con la notifica all’autorità garante e, eventualmente con la comunicazione agli interessati.
Nel caso concreto, invece, tenuto conto della natura dei dati, del basso numero di interessati coinvolti e delle misure di sicurezza adottate, l’azienda può ritenere che l’attacco ransomware non ha comportato dei rischi per i diritti e le libertà degli interessati. Pertanto:
- la violazione di dati non deve essere notificata al Garante
- la violazione di dati non deve essere comunicata agli interessati.