A cura del Dott. Diego Liberati, Sr. Compliance Analyst presso la Funzione Compliance & Ethics di American Express Italia

Le opinioni espresse dall’autore sono personali e non impegnano in alcun modo l’attuale Istituzione di appartenenza.

È notizia recente la violazione di 500 Milioni di account Yahoo (contenenti dettagli relativi a nomi, passwords, indirizzi email, numeri telefonici, domande di sicurezza etc.), da parte di un team di hacker internazionali, forse supportati da una non meglio precisata entità Nazionale (c.d ‘state-sponsored’ hackers). Probabilmente si tratta del più grande furto di dati finora conosciuto, ed è ancora più recente (e famoso) lo scandalo delle email trafugate dall’account del candidato democratico alla presidenza US.

Sembra proprio che non vi sia spazio nella rete che non possa essere violato, ei dati in esso contenuti rubati. Le motivazioni che spingono questi hacker internazionali sono molteplici: dall’alimentazione di un vero e proprio mercato dove ogni account violato ha una precisa quotazione, al controllo delle informazioni di persone influenti.

Ma non è tutto. Da numerose fonti apprendiamo che circa la metà dei furti di dati non è imputabile ad hacker esterni alle Aziende. Al contrario, spesso i furti sono opera di dipendenti (c.d. corporate insiders) talvolta inconsapevolamente.

Come possono difendersi le aziende

Una parziale risposta a questo crescente fenomeno arriva dal nuovo regolamento europeo per la privacy (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016). Infatti, se risulta impossibile predisporre un sistema totalmente inattaccabile, il regolatore comunitario si è orientato verso un approccio a due fasi: da una parte informare chi è stato oggetto di attacchi informatici per metterlo in condizione di porvi rimedio o quantomeno di limitare i danni (ad esempio cambiando le password violate); dall’altra prevedere un sistema di certificazioni da parte di enti terzi riconosciuti per garantire, almeno, il rispetto dei minimi standard disponibili.

Il sistema di notifica previsto dal nuovo regolamento europeo per la privacy (GDPR) prevede, a seconda del rischio associato alla violazione, due “tipi” di notifiche; i) la prima indirizzata all’autorità di controllo (art. 33 del GDPR); ii) la seconda, indirizzata ai soggetti interessati dalla violazione (art. 34 del GDPR). Quest’ultima da attivarsi sol o nel caso in cui le violazioni presentino un rischio elevato per i diritti e le libertà delle persone fisiche.

Art .33 – Notifica di violazioni dei dati all’autorità di controllo

Innanzitutto rileviamo il termine particolarmente breve (72 ore) per informare l’autorità di controllo dell’avvenuta violazione. Ma il termine si giustifica con l’intrinseca velocità dei moderni mezzi di comunicazione. E’ peraltro previsto che nel caso di notifiche inviate dopo il termine queste debbano essere accompagnate dai motivi del ritardo.

L’obiettivo del regolatore è abbastanza chiaro: (i) incentivare le imprese ad adottare sistemi sufficientementi sicuri per proteggere i dati detenuti, (ii) avere una base dati dei breach verificatisi al fine di predisporre futuri interventi legislativi più mirati, (iii) informare gli interessati in merito alle condizioni di sicurezza di una certa azienda condizionando – in tal modo – la fiducia dei consumatori nei confronti di quel Brand.

Al titolare del trattamento è quindi richiesto di informare l’autorità di controllo in merito alla violazione,  e la notifica deve contenere – almeno – la descrizione della natura della violazione, il numero e le categorie dei dati interessati (se disponibili), il nome del responsabile della protezione dei dati, le probabili conseguenze della violazione, le misure adottate per porvi rimedio e/o attenuarne gli effetti negativi.

Se non è possibile fornire tutte le informazioni nel termine suindicato, queste possono essere fornite in fasi successive e senza ritardo. Infine, il titolare del trattamento deve conservare un fascicolo relativamente al data breach occorso in modo diligente, per consentire all’autorità di verificare il rispetto delle prescrizioni contenute nell’art. 33.

Alcune riflessioni: in caso di possibile data breach (l’impresa non è in grado di accertare se effettivamente occorso o meno) la notifica all’autorità deve essere comunque fatta in via prudenziale? In ottemperanza al principio di approccio basato sul rischio, non sarebbe utile prevedere una soglia minima? In altre parole, anche la violazione di un solo account dà luogo all’obbligo di notifica all’autorità?

Tali interrogativi non hanno ancora una chiara risposta.

Parte 2 – Data breach e nuovo Regolamento Europeo per la Privacy