Il processo di gestione di un data breach su dati rilevanti ai fini GDPR si può articolare nelle seguenti fasi:
1. Rilevazione di una potenziale violazione dei dati;
2. Prima valutazione della notizia di violazione;
3. Misure immediate per la risoluzione / mitigazione dei rischi;
4. Valutazione dell’entità del rischio;
5. Notifica della violazione all’autorità di controllo e comunicazione agli interessati;
6. Tracciatura all’interno del Registro delle violazioni.
1. Procedure per la gestione delle Violazioni di Dati personali
La violazione dei dati personali può essere rilevata mediante le seguenti tre modalità:
(i) I sistemi di monitoraggio interni di sicurezza consentono di identificare eventi che possono comportare potenziali violazioni di dati personali. Tali sistemi presidiano a titolo di esemplificativo, ma non esaustivo, le seguenti tipologie di segnalazioni:
· violazioni del sistema di autenticazione e delle reti di comunicazione;
· violazioni delle basi dati;
· violazioni rilevate da parte delle soluzioni di intrusion detection;
· violazioni rilevate da parte del sistema di content filtering web ed email;
· violazioni rilevate da parte delle soluzioni di sicurezza delle postazioni di lavoro (e.g. antimalware)
· violazioni rilevate da parte delle soluzioni di sicurezza dei dispositivi mobili.
I sistemi di sicurezza fisica consentono di identificare eventi che possono comportare potenziali violazioni di dati personali.
Tali sistemi hanno il compito di monitorare e segnalare eventi quali la violazione della protezione perimetrale esterna e dei locali (e.g. in caso di intrusione, allagamento, incendio, etc.) o violazioni rilevate da sistemi di video-sorveglianza.
(ii) Rilevazioni di violazioni segnalate personale dipendente
Il personale ha il compito di segnalare tempestivamente eventuali eventi rilevanti per la sicurezza dei dati personali di cui venga a conoscenza direttamente (come per esempio la rilevazione di un virus sul pc o sul telefono ricevuti in dotazione o la perdita di documenti) o indirettamente (come per esempio attraverso segnalazioni ricevute da parte di terzi come soggetti interessati, clienti, fornitori o responsabili del trattamento).
(iii) Rilevazioni di violazioni segnalate da soggetti terzi
Le terze parti, come i fornitori Responsabili del trattamento, hanno il compito di segnalare eventi potenzialmente rilevanti per la sicurezza dei dati personali.
Il protocollo per la segnalazione delle violazioni è stato definito in occasione della nomina dei responsabili del trattamento.
Il Titolare del Trattamento verifica la qualità e la quantità delle informazioni indicate dal fornitore/ responsabile del trattamento all’interno del documento trasmesso relativo alla violazione.
Se le informazioni non sono complete, o non esaustive, il Titolare del Trattamento deve provvede alla raccolta di ulteriori elementi e/o alla esecuzione di indagini relative alla violazione.
Il Titolare del Trattamento quindi analizza le informazioni raccolte e prosegue l’analisi della violazione, come di seguito illustrato.
2. Prima valutazione della notizia di violazione
Il Titolare del Trattamento raccoglie le segnalazioni ed effettua una prima valutazione dell’accaduto.
Nel determinare se l’incidente debba essere considerata una violazione dei dati personali, il Titolare del Trattamento, se necessario con il supporto di un esperto IT e/o delle Funzioni competenti, valuterà tra gli altri i seguenti fattori:
- · se i sistemi interessati dall’incidente includono o meno dati personali;
- · quale sia la porzione/area di rete impattata dall’incidente;
- · log, generati dai sistemi e dagli strumenti di monitoraggio, al fine di rilevare in dettaglio le singole attività svolte sui sistemi da cui si è generata l’anomalia.
- Al termine dell’analisi, se verrà stabilito che l’evento non ha avuto alcun impatto sui dati personali, questo verrà eventualmente trattato come un incidente di sicurezza standard, applicando il relativo protocollo se presente.
In caso contrario, l’incidente di sicurezza verrà classificato come violazione rilevante ai fini privacy e seguirà l’iter di risoluzione descritto all’interno del presente documento.
3. Misure immediate per la riduzione / mitigazione dei rischi
Il Titolare del Trattamento, con il pieno supporto delle Funzioni competenti, e di eventuali responsabili esterni, mette in atto senza ritardo tutte le azioni necessarie per eliminare o ei rischi e le conseguenze della violazione, applicando il protocollo eventualmente previsto per le varie tipologie di incidenti.
4. Valutazione dell’entità del rischio per le libertà e i diritti degli interessati
Il Titolare del Trattamento, con il supporto delle Funzioni competenti, se necessario, ha l’onere di valutare il rischio derivante da una violazione di dati personali, sia per identificare le azioni necessarie per la sua risoluzione / contenimento, sia per determinare la tipologia di notifica (esclusivamente all’autorità di controllo, oppure anche nei confronti dei soggetti interessati).
Nel valutare se la violazione identificata comporta un probabile un rischio per i diritti e le libertà degli interessati tale da rendere necessaria la notifica all’autorità di controllo competente (in Italia, il Garante) ai sensi dell’art. 33 del GDPR, occorre tenere in considerazione i seguenti fattori:
- · tipologia di violazione e sue possibili cause;
- · natura, numero e grado di sensibilità dei dati personali violati;
- · facilità di identificazione degli interessati;
- · categoria e numero di soggetti interessati coinvolti;
- · gravità delle conseguenze per gli interessati;
- · se i dati oggetto di violazione:
o erano stati in precedenza anonimizzati o pseudonimizzati o cifrati;
o non sono riconducibili all’identità di persone fisiche;
o erano già stati diffusi / resi pubblici.
5. Notifica della violazione all'autorità di controllo e comunicazione agli interessati
Nel caso in cui venga rilevata una violazione dei dati personali, la notifica al Garante Privacy va sempre fatta entro 72 ore dalla notizia della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le
libertà delle persone fisiche, ai sensi dell’art. 33 comma 1, GDPR.
Il Garante Privacy mette a disposizione, online sul proprio sito internet, il modello per la segnalazione della violazione con le istruzioni specifiche.
I casi di esclusione, secondo quanto indicato dal WP29 si limitano esclusivamente a:
- violazioni dei dati personali cifrati la cui chiave di decifratura non è nella disponibilità dei soggetti che hanno compiuto atti malevoli;
- violazioni che non hanno un carattere sistematico (es. riguardano una persona) e che non presentano rischi per le libertà e i diritti degli interessati (es. trasmissione di un messaggio di posta elettronica ad un destinatario sbagliato con la conseguente distruzione immediata della comunicazione trasmessa).
Sebbene la violazione non necessiti la trasmissione al Garante è sempre necessario compilare il Registro delle violazioni indicando tutti i dati richiesti nonché le motivazioni che hanno determinato le scelte adottate.
6. Tracciatura all'interno del Registro delle violazioni
Nel valutare se la violazione identificata comporta un rischio elevato per i diritti e le libertà degli interessati, tale da rendere necessaria la comunicazione agli interessati coinvolti ai sensi dell’art. 34 del GDPR, occorre verificare in particolare se la violazione dei dati può comportare:
· discriminazioni per l’interessato,
· furto o usurpazione d'identità,
· perdite finanziarie,
· pregiudizio alla reputazione,
· perdita di riservatezza dei dati personali protetti da segreto professionale,
· decifratura non autorizzata della pseudonimizzazione,
· qualsiasi altro danno economico o sociale significativo.
Inoltre, il Titolare del trattamento deve valutare se:
· gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano;
· i dati personali oggetto di violazione:
o rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
o riguardano la valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;
o sono riferibili a persone fisiche vulnerabili, in particolare minori o disabili;
· la violazione riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Al fine di valutare il rischio per le libertà e i diritti degli interessati, è possibile fare riferimento alla tabella di cui al precedente paragrafo 1 contenente una lista non esaustiva di possibili violazioni dei dati personali con indicazione (in ultima colonna) del relativo indice di gravità.