La conoscibilità del data breach, il “giochetto” delle 72 ore e la negoziazione con il Responsabile del Trattamento dei termini di notifica di un data Breach.Cosa è un data breachIl data breach è un violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Un data breach può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Show
Entro quando notificare un data breachIn caso di violazione dei dati personali (c.d. data brecah), ai sensi dell’art 33 del GDPR, “il titolare del trattamento notifica la violazione all’autorità di controllo competente (…) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Il responsabile del trattamento dal canto suo “informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”. Entro quando il Responsabile deve notificare un data breachMa quindi il Responsabile quando deve notificarlo? L’art 33 del GDPR prevede che il Responsabile del trattamento dal canto suo “informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza del data breach”. La risposta è quindi immediatamente, o meglio, “senza ingiustificato ritardo”. Pattuire con il Responsabile un termine di notifica diverso, per esempio entro 48 ore, significherebbe derogare alla immediata conoscibilità di un data breach e quindi mediare sui diritti e le libertà degli interessati coinvolti. È plausibile che le procedure di rilevazione di un data breach da parte del Responsabile in qualche caso possano richiedere qualche ora prima che la comunicazione sia trasmessa al Titolare (pensiamo soprattutto alle grandi realtà). Non può essere invece ammessa una notifica che preveda sempre e comunque un termine di 24, 36, 48 ore in totale deroga alla norma. Il rischio è che venga preclusa al Titolare la possibilità di comunicare il data breach all’interessato “senza ingiustificato ritardo” (art 34 del GDPR) e/o finalizzare la notifica entro 72 ore al Garante Privacy. La notifica dovrà pertanto sempre avvenire nel minor tempo possibile e senza ingiustificato ritardo. Affidarsi ad un Responsabile che ritarda la comunicazione di un data breach per ragioni più o meno sostenibili esporrebbe del resto il Titolare al rischio di una violazione degli obblighi previsti dall’art 28 del GDPR: ricorrere a “responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”. E internamente all’azienda, da quando decorrono le 72 ore per la notifica del data breach?In realtà in soccorso arrivano le indicazioni fornite dalle Linee guida sulla notifica dei data breach del WP Art29 – WP 250. Le Linee guida stabiliscono che l’obbligo di notifica in capo al titolare del trattamento decorre da quando ne viene effettivamente a conoscenza. Le Linee Guida parlano di “ragionevole certezza”. Ragionevole certezza“Il Gruppo di lavoro ritiene che il titolare del trattamento debba considerarsi “a conoscenza” nel momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha portato alla compromissione dei dati personali” Il momento esatto della conoscenza ovvero l’orario da quando far partire il conto alla rovescia “dipenderà dalle circostanze” del data breach. “In alcuni casi sarà relativamente evidente fin dall’inizio che c’è stata un data breach, mentre in altri potrebbe occorrere del tempo per stabilire se i dati personali sono stati compromessi”. Vi è una ragionevole certezza, per esempio, quando si ha conferma che l’incidente di sicurezza ha coinvolto anche i dati personali. Oppure quando vi è la conferma che il dato personale è stato esfiltrato, visualizzato ed in genere “trattato”. Alcuni esempi:
Il timer del data breachTalvolta si usa far partire il contatore dall’orario di inoltro di un’email che, per esempio, contiene le informazioni essenziali per la valutazione. In altri casi potrebbe essere utile utilizzare un sistema interno al fine di tracciare (es. mediante un log) la data e l’orario dell’inoltro della segnalazione. I riferimenti utili saranno quelli della comunicazione che contiene gli elementi essenziali ai fini della determinazione della “ragionevole certezza” che è avvenuto un data breach. Non necessariamente corrisponderà con la prima comunicazione interna. Il periodo di indagine non deve essere calcolato nelle 72 oreInfatti, se un dipendente o un Responsabile “informa il titolare del trattamento di una potenziale data breach (…) il titolare del trattamento può effettuare una breve indagine per stabilire se la violazione si sia effettivamente verificata. Durante il periodo di indagine il titolare del trattamento non può essere considerato a conoscenza” Non sarebbe tuttavia ammissibile un periodo di indagine troppo lungo e le analisi dovranno essere avviate immediatamente ed effettuate nel minor tempo possibile. Ciò anche a riprova dell’effettiva consapevolezza dell’importanza della gestione dei data breach e la relativa attenzione nei riguardi degli interessati. Attenzione rivolta anzitutto ai loro diritti e libertà. “Queste azioni preliminari dovrebbero essere completate subito dopo l’allerta iniziale (ossia quando il titolare o il responsabile del trattamento sospetta che si sia verificato un incidente di sicurezza che potrebbe interessare dati personali). Dovrebbe richiedere più tempo soltanto in casi eccezionali.” E’ fondamentale l’attenzione che il titolare del trattamento pone nelle procedure interne per la gestione dei data breach. Procedure che devono essere preliminarmente disponibili, conosciute e applicate nonché finalizzate a rilevare le irregolarità nel trattamento, e soprattutto i data breach, immediatamente. Saranno utili meccanismi di rilevazione automatica degli incidenti di sicurezza informatica (non solo dei data breach). Saranno utili procedure di segnalazione e dettagliati piani di intervento che coinvolgano tutte le figure chiave (es. CISO, Physical Security Manager, Communication Manager). Anche il SOC (Security Operation Center), ove presente, è fondamentale che venga da subito coinvolto. Ciò al fine di garantire la “ragionevole certezza” che siano coinvolti dati personali. Cosa fa il titolare del trattamento in caso di data breach?Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all'Autorità di effettuare eventuali verifiche sul rispetto della normativa.
In quale caso il titolare del trattamento deve comunicare all interessato la violazione di un dato personale ai sensi dell'art 34 GDPR?Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.
Quale figura è responsabile della notifica del Data Breach?Secondo gli articoli 33 e 34, il Titolare del trattamento o il Responsabile ha l'obbligo di notificare una violazione dei dati personali all'autorità di controllo nazionale competente e, in alcuni casi, di comunicare la violazione alle singole persone fisiche i cui dati personali siano stati violati.
Come avviene la segnalazione di un data breach?Come dev'essere la notifica di Data breach
comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni. descrivere le probabili conseguenze delle violazioni dei dati personali.
|