La gestione dei Data Breach resta uno degli aspetti più spinosi del Regolamento 2016/679 (GDPR). Sono una conferma della delicatezza dell’argomento i numerosi interventi dei Garanti e degli Enti come l’European Union Agency for Network and Information Security (di seguito anche solo ENISA). In particolare, la recente guida del Garante Spagnolo offre l’occasione per fare qualche riflessione su un aspetto molto delicato in caso di Data Breach: come valutare quali casi sono da notificare e quali no? Quali sono i casi da comunicare agli interessati?
La sensazione del Titolare è sempre quella che sia preferibile evitare di notificare o comunicare qualsiasi incidente, ma la scelta di farsi guidare solo dall’istinto non è né saggia, né in linea con la normativa.
Vediamo di inquadrare questa problematica da parte della normativa.
L’art. 33 precisa che la notifica all’autorità di controllo deve essere svolta, secondo i tempi previsti, “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Analogamente, ai sensi dell’Art. 34, la comunicazione all’interessato è obbligatoria “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, e nello specifico, NON è richiesta se sono state messe in atto misure tecniche e organizzative adeguate di protezione ovvero se i dati personali sono stati resi incomprensibili (ad es. tramite cifratura), oppure se è stato prontamente scongiurato il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.
Sulla base di quanto riportato del Regolamento, risulta evidente come una corretta gestione delle violazioni di dati personali debba inevitabilmente:
• tenere conto degli elementi tecnici e organizzativi che ci permettono di descrivere le circostanze della violazione stessa; quindi, anche sulla base di questi elementi
• svolgere una valutazione sui rischi che guidi la decisione di notificare/comunicare la violazione.
Ma come può essere svolta tale valutazione del rischio per i diritti e le libertà degli interessati?
L’identificazione di un “criterio” o un metodo oggettivo e predefinito di valutazione può essere una scelta in linea con il GDPR.
Se da una parte, infatti, per il principio di responsabilizzazione, il GDPR non specifica i metodi ritenuti adatti a valutare la presenza e l’entità dei rischi sui diritti e le libertà delle persone fisiche (lasciando pertanto una generale autonomia a ciascun Titolare del trattamento e il potere di scelta sulla modalità di approccio), dall’altra parte resta vero che il Titolare, un metodo e dei criteri da utilizzare per la valutazione li deve individuare.
Risultano quindi interessanti, a tale scopo, sia le indicazioni del Garante Spagnolo sia quelle dell’ENISA. Vediamo separatamente le due metodologie suggerite, resterà al Titolare la scelta e la messa a sistema dello strumento da utilizzare.
Le linee guida del Garante spagnolo
L’AEPD, autorità garante spagnola, ha diffuso una guida a supporto della decisione di notificare i Data Breach, che dovrebbe basarsi sui seguenti tre parametri:
1. Volume dei dati violati
2. Tipologia di dati violati
3. Impatto della violazione
i quali sono valutati attraverso l’attribuzione di un valore numerico in linea con i seguenti criteri:
La percentuale di rischio per i diritti e le libertà degli interessati viene quindi valutata secondo la formula:
Rischio % = Volume x (Tipologia x Impatto)
Il Garante spagnolo indica poi che nell’applicazione di questo metodo per lo sviluppo di una procedura interna a un’organizzazione, si dovrebbe prevedere la notifica all’autorità per qualsiasi violazione che soddisfi contemporaneamente i seguenti due criteri:
a. Il valore del rischio è uguale o superiore a 20%, e
b. almeno 2 dei 3 parametri hanno valore che rientra tra quelli evidenziati in arancione.
In merito alla comunicazione agli interessati, raccomanda invece di procedere con la comunicazione quando sono soddisfatti contemporaneamente i seguenti due criteri:
a. Il valore del rischio è uguale o superiore a 40%, e, di nuovo,
b. almeno 2 dei 3 parametri hanno valore che rientra tra quelli evidenziati in arancione)
L’approccio dell’ENISA
Una diversa metodologia per la valutazione della gravità delle violazioni dei dati personali è stata proposta e progettata dall’ENISA (European Union Agency for Network and Information Security).
Secondo questo modello, gli elementi centrali che devono essere presi in considerazione quando si valuta la gravità di una violazione di dati personali, sono:
• Contesto del trattamento e tipologia di dati
• Facilità di identificazione dell’individuo sulla base dei dati violati
• Circostanze della violazione
Al fine di definire un punteggio al parametro relativo al contesto del trattamento, l’ENISA suggerisce di attribuire un punteggio di base utilizzando come criterio la classe di dati violati, regolando poi il punteggio sulla base dell’analisi di altri fattori di contesto.
Per quanto concerne la facilità di identificazione, la valutazione di questo parametro avviene in relazione a quattro livelli di identificabilità crescente, il cui valore sarà utilizzato come moltiplicatore sul punteggio di base del contesto del trattamento.
Infine, gli elementi relativi alle circostanze della violazione sono rappresentati dalle perdite di riservatezza (la cui entità varierà a seconda della portata della divulgazione), di integrità (di cui si valuterà quanto le alterazione possano essere pregiudizievoli per l’individuo), di disponibilità (in cui diventa rilevante il fatto che sia una perdita temporanea o permanente), oppure da circostanze di violazione provocata da intenzioni malevole (fattore che aumenta sempre la probabilità che i dati vengano utilizzati in modo dannoso).
* Il punteggio di base rientrerà sempre in un valore da 1 a 4, a seconda delle successive correzioni. Ad es. a dati semplici potrebbe essere attribuito un punteggio di base = 4 qualora a causa di determinate caratteristiche dell’individuo l’informazione possa essere critica per la loro sicurezza personale o per le condizioni fisiche/psicologiche. Analogamente, anche a dati sensibili potrebbe essere attribuito un punteggio di base = 1, quando la natura dei dati non fornisce alcuna comprensione sostanziale delle informazioni comportamentali dell’individuo.
Utilizzando questi criteri, ENISA calcola quindi la gravità di una violazione di dati personali attraverso la formula
Gravità = (Contesto x Facilità di identificazione) + Circostanze
valutando infine il risultato ottenuto secondo quanto riportato nella seguente tabella:
Come già precisato, è lasciata a ciascun Titolare l’autonomia assoluta sul metodo da utilizzare: i due modelli presentati qui sono i primi esempi di linee guida sul tema della gestione dei Data Breach, ma potrebbero essere ugualmente validi altri strumenti. Qualsiasi sia la scelta, si consiglia sempre di indicare nella procedura di Data Breach (da codificare da parte del Titolare del trattamento) i criteri che saranno utilizzati per svolgere le valutazioni dell’eventuale evento, alla luce degli adempimenti di cui agli art. 33 e 34 GDPR.