Gestione data breach: i denominatori comuni che definiscono le fasi essenziali della procedura
La gestione del data breach è un adempimento richiesto alle organizzazioni in relazione alle prescrizioni degli artt. 33 e 34 GDPR, ma le misure tecniche e organizzative predisposte devono consistere - anche per le finalità di rendicontazione e dimostrabilità degli adempimenti richieste dal principio di accountability - nell’elaborazione di una procedura. Su un piano prettamente pratico non è però possibile definire una procedura che vada bene per ogni organizzazione a prescindere da contesto e complessità, ma si possono estrarre dei denominatori comuni che definiscono le fasi essenziali.
La premessa necessaria consiste nel dotarsi di misure che conferiscano la capacità di identificare con tempestività e accuratezza le violazioni di sicurezza. La corretta rilevazione di anomalie ed eventi costituisce infatti il presupposto fondamentale affinché un operatore attivi – o meglio: sia posto nelle condizioni di poter attivare – la procedura di data breach. In questa fase è particolarmente importante che le dotazioni tecnologiche siano quanto meno adeguate rispetto allo stato dell’arte e delle minacce che è possibile attendersi e che gli operatori abbiano ricevuto un addestramento per essere in grado di intervenire senza ritardo nella segnalazione iniziale.
E dunque, operativamente parlando, le istruzioni relative alle modalità di rilevazione e attivazione della procedura devono essere chiaramente individuate, definite e diffuse presso la totalità del personale che partecipa alle attività di trattamento ivi inclusi tutti quei soggetti pur esterni all’organizzazione ma che comunque operano “sotto l’autorità del titolare del trattamento”. È indispensabile che nella definizione dei rapporti con i responsabili del trattamento vengano precisate misure in tal senso, quali ad esempio la definizione di una tempistica di comunicazione, un punto di contatto dedicato e un modello/strumento per la raccolta di tutte le informazioni utili.
La fase successiva consiste nella valutazione dell’evento. Innanzitutto, per definire se la violazione di sicurezza può essere qualificata come un data breach per aver compromesso dati personali e per avere una stima del rischio per i diritti e le libertà delle persone coinvolte. Ciò comporta che all’interno della procedura venga dunque individuato un soggetto – interno o esterno - verso cui far confluire i flussi informativi delle segnalazioni degli operatori, il quale avrà la responsabilità di fornire al management tutte le indicazioni necessarie per essere in grado di formare le decisioni riguardanti la violazione.
L’analisi può seguire indifferentemente un approccio quantitativo, qualitativo o semi-quantitativo purché però sia fondata su elementi e criteri che rendano la valutazione oggettiva e ripetibile. È necessario che tale soggetto abbia a disposizione gli strumenti per raccogliere tutte le informazioni utili anche presso eventuali responsabili del trattamento o soggetti esterni, così da poter concludere una prima fase di investigazione dell’incidente e produrre un report entro il termine di 72 ore prescritto dalla norma per la notifica.
All’interno della procedura un elemento indispensabile sta nell’individuare un termine entro le 72 ore dalla scoperta dell’evento in cui l’organizzazione deve essere in grado di valutare quanto accaduto dalle informazioni raccolte e assumere così una decisione a riguardo e agire di conseguenza. La finestra temporale così definita deve prevedere l’invio del report da parte del soggetto cui è rimessa la valutazione, passaggio indispensabile per consentire al management dell’organizzazione di adottare sia le eventuali misure di mitigazione che formare gli adempimenti delle prescrizioni indicate dalla norma (artt. 33 e 34 GDPR). Nell’ipotesi in cui l’organizzazione non possa essere in grado di dare puntuale definizione alla violazione occorsa, l’ambito decisionale dovrà riguardare l’esecuzione di una notifica preliminare e lo svolgimento di successivi approfondimenti e indagini.
I principali snodi decisionali riguardano:
- qualificazione della violazione come data breach;
- sussistenza di un rischio probabile per gli interessati e conseguente obbligo di notifica;
- sussistenza di rischi elevati e conseguente obbligo di comunicazione;
- predisposizione di misure di mitigazione.
La fase di decisione della procedura deve essere in grado di riepilogare l’iter di formazione della volontà dell’organizzazione relativa alla gestione della violazione di sicurezza occorsa. Di conseguenza, è necessario che venga definita puntualmente sia per adempiere a tale prescrizione sia in un’ottica più generale come misura adeguata nell’ottica di una più generale gestione della sicurezza secondo un approccio di tipo lesson learned. Altrimenti, non può essere possibile svolgere controlli di efficacia degli interventi posti in essere per contenere i rischi, né tantomeno analizzare la tendenza delle violazioni e dunque svolgere l’attività di verifica e riesame di sicurezza richiesta dall’art. 32 GDPR.
Premesso che la rendicontazione delle scelte è un obbligo generale che grava sul titolare del trattamento in forza del principio di accountability, il come viene rimesso all’autonoma definizione da parte delle organizzazioni purché segua sempre un approccio basato sul rischio. Ma è evidente che nell’attività di gestione di eventi critici e in grado di produrre rischi nei confronti degli interessati quali sono le violazioni di dati personali, l’esigenza in tal senso assume un carattere rafforzato e richiama la necessaria produzione di informazioni documentate la cui registrazione è espressamente prevista dall’art. 33.5 GDPR. Dopodiché, la quantità e profondità delle stesse dipenderà inevitabilmente dall’accaduto e da quanto è possibile rilevare, ma occorre che siano complete e disponibili e se del caso aggiornate in ragione dell’esito di attività di indagine successiva o di interventi programmati.
All’interno della procedura dovrà pertanto essere normata la formazione del documento che sarà oggetto di registrazione e che dovrà di conseguenza comprendere almeno:
- il report di valutazione, con l’analisi dei rischi;
- l’evidenza delle decisioni assunte, con eventualmente la notifica all’autorità di controllo e la comunicazione per gli interessati;
- le motivazioni a supporto ivi incluso il parere del DPO, se presente.