La gestione del data breach alla luce delle linee guida del’European Data Protection Board. Linee generali e la questione del ransomware.
Il 14 gennaio 2021 il EDPB (European Data Protection Board) ha approvato e pubblicato le linee guida sulle misure e procedure da adottare per prevenire un data breach e per mitigarne gli effetti ove esso si sia verificato.
Il data breach, ovvero la violazione ed il trattamento illecito malevolo od accidentale dei dati personali, è certamente l’evento alla luce del quale l’intero GDPR è stato scritto e poi reso operativo.
In generale, le minacce cui i dati personali possono essere esposti in conseguenza di una violazione sono: la perdita di riservatezza conseguente alla loro pubblicazione; la perdita di integrità conseguente ad alla loro alterazione, la perdita di disponibilità conseguente alla impossibilità di accedervi e/o alla loro distruzione.
Sempre in termini generali, il GDPR impone al responsabile del trattamento di:
- documentare ogni violazione per come si è verificata, per gli effetti che ha generato e per i rimedi che sono stati adottati;
- notificare la violazione all’autorità di regolazione, a meno che si possa pronosticare che essa non abbia messo a repentaglio i diritti e le libertà dei titolari dei dati stessi.
Le linee guida prendono in considerazione molti scenari, tra i quali il ransomware (malevola criptazione dei dati con susseguente richiesta di un riscatto per renderli nuovamente disponibili).
I quattro casi del ransomware
Il ransomware può configurarsi in vari modi per contesto e gravità degli effetti, e le linee guida prendono in considerazione quattro casi di scuola:
- criptazione dei dati protetti da backup, ma già criptati all’origine da parte del titolare del trattamento, senza furto degli stessi;
- criptazione dei dati non protetti da backup memorizzati in chiaro, senza furto degli stessi;
- criptazione dei dati trattati da un ospedale, protetti da backup, memorizzati in chiaro, senza furto degli stessi;
- criptazione de dati non protetti da backup e con furto degli stessi.
Le linee guida evidenziano quali dovrebbero essere le misure di prevenzione e come dovrebbe essere effettuata la valutazione del rischio conseguente e la eventuale notificazione della violazione in questi quattro casi.
Nel primo caso, la presenza di un backup e la criptazione all’origine dei dati da parte del titolare del trattamento costituiscono contromisure molto efficaci nei confronti del ransomware, perché la prima tutela l’integrità e la riservatezza dei dati, mentre il secondo ne garantisce la disponibilità in breve tempo.
Ne consegue che il titolare del trattamento potrà limitarsi a documentare la violazione senza obbligo di notificazione della stessa all’autorità di regolazione ed ai titolari dei dati.
Nel secondo caso, la mancanza del backup e della criptazione aggravano le conseguenze della violazione ed il rischio per i diritti e le libertà dei titolari in conseguenza della violazione della compromissione della riservatezza e della disponibilità dei dati. Ne discende che, qualora il rischio per i diritti e le libertà dei titolari dei dati non sia da considerarsi assai elevato, il titolare del trattamento potrà limitarsi a/dovrà solo documentare la violazione e notificarla all’autorità di regolazione.
Anche nel terzo scenario, la criptazione malevola dei dati mette a rischio la disponibilità e la riservatezza degli stessi, e questo rischio mette gravemente a repentaglio i diritti e le libertà dei loro titolari poichè un ospedale tratta dati sensibili (quali quelli sulla salute) ed in relazione ad un alto numero di persone.
Tuttavia, la disponibilità di un backup elettronico consente il loro ripristino in termini temporali accettabili. In questo caso, alla documentazione della violazione ed alla notificazione della stessa all’autorità di regolazione si dovrà aggiungere, in ragione dell’elevato rischio di compromissione dei diritti e delle libertà dei titolari dei dati, la notificazione ad ognuno di loro dell’avvenuta violazione.
Il quarto scenario, in ragione della assenza di un backup elettronico e del furto dei dati, deve essere seguito dalla pressoché immediata attuazione di tutte e tre le misure di mitigazione delle conseguenze della compromissione di disponibilità, integrità e riservatezza dei dati; e così: documentazione della violazione e notificazione della stessa sia all’autorità di regolazione sia ai titolari dei dati sottratti (eventualmente mediante l’uso dei media, ove non sia possibile una notificazione ad personam nei confronti di tutti).
Cosa fare per minimizzare il rischio
Dalla veloce disamina dei quattro scenari si possono trarre alcuni insegnamenti in ordine alle misure di sicurezza ed alle soluzioni tecniche che il titolare del trattamento deve implementare per minimizzare il rischio di ransomware.
Serve procedere ad aggiornamento costante del software e dell’hardware, realizzazione di strutture e sistemi sezionati per minimizzare la propagazione nella rete del ransomware, predisposizione di un sistema di backup aggiornato, predisposizione di un efficace ed aggiornato firewall, predisposizione di un log server centrale che protegga i dati di log dalle cancellazioni operate dai codici malevoli ransomware, adozione di tecnologie di criptazione dei dati allo stato dell’arte, addestramento del personale al riconoscimento delle violazioni ed alla adozione delle strategie di mitigazione delle conseguenza delle violazioni.
Chi è l’autore
Classe 1968, maturità classica, laurea in giurisprudenza presso l’Università statale di Milano, relatore prof. Alberto Santamaria (tesi sul diritto antitrust comunitario in ambito radiotelevisivo) Giovanni Ricci, iscritto all’albo degli avvocati dal 2002, è partner dello studio legale Edoardo Ricci Avvocati, fondato dall’avv. prof. Edoardo Ricci, professore emerito di diritto processuale civile all’Università statale di Milano sino al 2010. Giovanni Ricci, è responsabile del dipartimento di responsabilità civile dello studio, ha approfondito la responsabilità sanitaria e i temi correlati (medical malpractice) e maturato significative competenze in tema di protezione dei dati personali e sulla normativa e sul Regolamento n. 679/2016/UE (GDPR)
