Pagina a cura di Antonio Ciccia Messina
Attacchi hacker, ricatti online e mail a destinatari sbagliati: è ricco di casi il catalogo delle violazioni della sicurezza che obbligano ad autodenunciarsi al Garante della privacy e ad avvisare le persone coinvolte e potenzialmente danneggiate.
Il 100% della sicurezza informatica, dicono gli esperti, non esiste e quando capita un incidente bisogna avvisare il Garante e, nei casi più gravi anche gli interessati, altrimenti si rischia una pesante sanzione amministrativa.
Ogni volta che capita un sinistro informatico bisogna correre a fare due ordini di cose: il primo gruppo di adempimenti è mettere ripari, impedire danni ulteriori e rafforzare le difese; il secondo gruppo di adempimenti è di tipo amministrativo.
Si tratta, in entrambi i casi, di adempimenti tutt’altro che facili. Per le incombenze amministrative uno è fisso: compilare il registro delle violazioni. Va fatto sempre.
Le altre incombenze amministrative sono la notificazione al Garante e la comunicazione agli interessati: tante volte vanno fatte, qualche volta si possono non fare.
Risposta impossibile. Analizziamo la notifica al Garante. La norma da applicare (articolo 33 del Regolamento Ue sulla protezione dei dati n. 2016/679, Rgpd) dice che la regola è la notifica al Garante, ma c’è l’eccezione. Non si fa, dunque, la notifica al Garante se è «improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».
Qualcuno deve assumersi la responsabilità di mettere nero su bianco che il rischio per le persone è «improbabile».
Come si fa ad esserne sicuri? Si noti che uno deve escludere con un grado elevato di approssimazione il rischio.
Si pensi, poi, al fatto che se non si fa la notifica al Garante il rischio è pagare fino a 10 milioni di euro o, per le imprese, il 2% del fatturato mondiale annuo.
In ogni caso per fare la notifica ci si collega al sito del garante e si compila il modulo on line: https://servizi.gpdp.it/databreach/s/
C’è poi un altro articolo del Rgpd (il 34) che obbliga a informare la persona danneggiata dalla violazione.
Se a una banca rubano le password con cui i clienti si collegano al conto on line, i clienti rischiano che qualcuno si appropri dei loro soldi e, quindi, è logico che debbano essere avvisati subito (così, ad esempio, cambiano urgentemente le password).
Immediato pensare alla perdita di credibilità e al danno di immagine. Ma anche qui in alcuni casi la comunicazione può essere evitata: in particolare se la violazione non presenta un rischio elevato e se i dati sono incomprensibili.
Nuovamente i concetti sono così vaghi che nella pratica i dubbi giustamente fioccano. E, manco a dirlo, la sanzione amministrativa è in sala d’attesa.
Gli esempi dei Garanti europei. Per non andare a tentoni, i Garanti europei hanno diffuso un documento (Linee Guida n. 1/21 reperibile sul sito www.edpb.eu), in cui sono elencati 18 casi, per ognuno dei quali si indica se si deve fare o no la notifica al Garante e la comunicazione agli interessati. Alle aziende e ai professionisti rimane il compito di vedere se il guaio capitato rientra in uno di questi esempi e seguire il vademecum. E, poi, si incrociano le dita.
Tre esempi. Vediamo tre esempi tratti dalle Linee Guida, che va consultata nella sua integralità anche per verificare tutte le specificità dei casi trattati.
Doppio sì (notifica al Garante e comunicazione agli interessati) nel caso in cui il server di una società di trasporto pubblico abbia subito un attacco ransomware e i suoi dati sono stati crittografati.
Nell’esempio l’autore non solo ha criptato i dati, ma li ha anche esportati. I dati attaccati (anagrafici, numeri di carta d’identità, dati finanziari come estremi della carta di credito) appartenevano a clienti e dipendenti e a diverse migliaia di persone che utilizzavano i servizi dell’azienda (ad esempio l’acquisto di biglietti online). Esisteva un database di backup, ma anche questo è stato cifrato dal malintenzionato.
Doppio no (niente notifica al Garante e niente comunicazione agli interessati) se una azienda ha spedito due pacchi ai destinatari sbagliati, con il risultato che i due clienti hanno ricevuto gli ordini l’uno dell’altro, comprese le fatture di imballaggio contenenti i dati personali. Dopo essersi reso conto della violazione, il titolare del trattamento ha richiamato gli ordini e li ha inviati ai destinatari giusti.
Doppio sì anche nell’esempio relativo al dipartimento per l’occupazione di un ufficio della pubblica amministrazione, che ha inviato un messaggio di posta elettronica, sui corsi di formazione in programma, alle persone iscritte nel suo sistema come persone in cerca di lavoro.
Per errore, a questa e-mail è stato allegato un documento contenente tutti i dati personali delle persone in cerca di lavoro (nome, indirizzo e-mail, indirizzo postale, numero di previdenza sociale). Il numero di individui colpiti è superiore a diverse decine di migliaia. Successivamente l’ufficio ha contattato tutti i destinatari e ha chiesto loro di eliminare il messaggio precedente e di non utilizzare le informazioni in esso contenute.
© Riproduzione riservata
Fonte:
