Nonostante tutte le misure di sicurezza tecniche implementate in un sistema, senza alcun dubbio il fattore umano continuerà sempre a rivestire un ruolo fondamentale per i rischi di violazione di dati personali.
Da una parte, vi sono le violazioni accidentali: specialmente nelle routine del lavoro, lo svolgimento quotidiano di operazioni di trattamento dati aumenta enormemente la probabilità che si verifichino degli errori. E mentre, per certi veri, l’utilizzo di determinate tecnologie informatiche può ridurre l’incidenza d’errore, per altri versi continuerà ad avere valore quell’acronimo diffuso tra gli informatici: “PEBKAC” (“Problem Exists Between Keyboard And Chair”, ovvero “Il problema sta fra la tastiera e la sedia”).
Vi sono poi le violazioni intenzionali, non sempre facilmente distinguibili dall’errore, elemento di ambiguità che contribuisce a rendere particolarmente difficile per un Titolare del trattamento valutare con precisione le caratteristiche e i rischi conseguenti a una violazione di dati collegata al fattore umano.
Come mitigare, quindi, il rischio di Data Breach collegati al fattore umano?
Secondo le più recenti linee guida dell’EDPB (attualmente in consultazione pubblica), la parola chiave è prevenzione, la quale non può realizzarsi senza un’adeguata attuazione di programmi di formazione e sensibilizzazione del personale sugli obblighi di privacy e sicurezza. Può essere particolarmente utile, in questo frangente, ricordare ai dipendenti i più comuni errori nel trattamento dati e le strategie per evitarli, magari trasmettendo l’importanza di una banale politica di “clean-desk” per mantenere l’ordine nell’organizzazione di file e documenti. L’ideale è che l’insieme di buone pratiche vada infine a configurare un insieme di vere e proprie procedure operative (le quali, tra l’altro, si prestano bene a regolari verifiche e audit che permettano una valutazione continua della loro efficacia).
Passando dalle misure organizzative a quelle più tecniche, troviamo l’utilizzo di politiche di controllo degli accessi, che potranno prevedere misure di autenticazione più rigide per l’accesso a dati sensibili (ad esempio, registrandone tutti gli accessi, da consentire, a seconda dei casi, solo previa specifica motivazione).
Altre misure si focalizzano poi sulla prevenzione di possibili azioni malevole dei dipendenti: la disabilitazione degli account aziendali nel momento in cui un utente abbandona l’organizzazione dev’essere certamente tempestiva, ma è possibile anche monitorare (attraverso segnali di alert) insoliti flussi di dati tra server e postazioni di lavoro degli impiegati, allo scopo di gestire con immediatezza i casi di esfiltrazione. Altri suggerimenti riguardano la gestione delle interfacce input/output da BIOS (per bloccare o sbloccare l’uso di USB o altri supporti di memorizzazione) e la disabilitazione delle funzioni di stampa dello schermo nel sistema operativo.
Ma cosa occorre considerare, qualora il Data Breach si sia già verificato, per stabilire la necessità di notificarla al Garante, o di comunicarla agli interessati?
I due esempi riportati nelle Linee guida dell’EDPB si concentrano su quantità e qualità dei dati violati, ma soprattutto sull’elemento di intenzionalità della violazione.
Analizziamoli nel dettaglio.
1 – ESFILTRAZIONE DATI DA PARTE DI UN EX-DIPENDENTE
Il primo caso ipotizza l’utilizzo di dati aziendali per finalità personali da parte di un ex dipendente, dopo aver copiato i contatti presenti nel database clienti, nel suo periodo di preavviso (quando era ancora autorizzato ad accedere ai dati per svolgere il proprio lavoro).
Si descrive pertanto un caso di esfiltrazione di dati partita dall’interno, che intacca unicamente la riservatezza dei dati.
Tipicamente, casi di questo genere coinvolgono una quantità tutto sommato contenuta di dati, di natura non sensibile (principalmente dati di contatto utilizzati per finalità commerciali o di marketing). Confermando queste premesse, il rischio sul trattamento dei dati potrebbe essere valutato come relativamente basso, poiché le conseguenze dirette sono unicamente le azioni di marketing messe in atto dall’ex dipendente. Tuttavia, è impossibile escludere ulteriori e più gravi abusi dei dati rubati. Insomma, un elemento che assume sostanziale rilevanza è proprio l’intenzione malevola che ha caratterizzato l’azione dell’ex dipendente.
Come attenuarne gli effetti negativi? Impedire queste violazioni è difficile, poiché le limitazioni all’accesso possono ostacolare il lavoro che il dato dipendente è tenuto a svolgere, e purtroppo anche le opzioni risolutive purtroppo sono scarse. Il campo di azione potrebbe limitarsi quindi al monitoraggio dei flussi di dati per consentire un tempestivo intervento nei casi sospetti. Nella circostanza ipotizzata, sarà necessaria un’azione legale immediata nei confronti dell’ex dipendente. Per tentare di prevenire casi analoghi futuri, poi, l’azienda dovrebbe considerare di ridurre le possibilità di accesso ai dipendenti che abbiano già segnalato la loro intenzione di lasciare il lavoro, e assicurarsi di aver inserito nel contratto firmato con i dipendenti specifiche clausole che vietino azioni come quella descritta.
In termini di obblighi di gestione della violazione, per l’esempio in questione si considera obbligatoria la notifica al Garante ex Art. 33 GDPR. Le linee guida, d’altronde, pongono l’accento anche sul vantaggio derivante dal dare informazione sulla fuga di dati anche agli interessati, affinché ne siano messi al corrente direttamente dalla società piuttosto che dall’ex dipendente che cerca di contattarli.
2 – TRASMISSIONE INVOLONTARIA DI DATI A UN TERZO DI FIDUCIA
Uno scenario totalmente diverso, che però riguarda sempre problemi di riservatezza, è invece rappresentato dalla trasmissione involontaria di dati a un terzo di fiducia (es. un responsabile esterno protetto dal segreto professionale), nata da un errore umano causato da disattenzione e da un uso improprio degli allegati di posta elettronica.
Anche in questo caso occorrerà considerare qualità e quantità di dati trasmessi erroneamente, e la presenza nella comunicazione errata di soli dati non sensibili, possibilmente in quantità ridotta, potrà portare a escludere qualsiasi impatto sugli interessati. Ad attenuare i rischi, inoltre, vi potrà essere il fatto che l’errore venga segnalato direttamente dal destinatario della comunicazione (come dovrebbe essere obbligato a fare, nel rispetto degli accordi con i Responsabili del trattamento), e la ricezione di una sua conferma scritta che i dati ricevuti sono stati cancellati, a dimostrazione e garanzia della sua affidabilità.
In circostanze simili, sarà quindi sufficiente documentare la violazione nel proprio registro dei Data Breach, senza necessità di procedere con altre azioni di notifica.
È comunque importante che il Titolare consideri le possibili soluzioni per evitare o ridurre errori simili in futuro. Si ribadisce quindi l’importanza dei programmi di formazione e consapevolezza in tema di protezione dei dati personali (constatando che una banale azione di controllo dei file prima dell’invio può evitare circostanze fastidiose). Tuttavia, non essendo possibile eliminare il rischio di disattenzione degli operatori, una misura più efficace potrà essere la sistematica riduzione degli scambi di allegati via mail, optando per sistemi alternativi di trasmissione che consentano lo scambio di documenti attraverso piattaforme dedicate.