Fuoriuscita di dati dallo studio - il primo passo è valutare i rischi

Nel 2020 si sono verificati 2.332 attacchi informatici, rispetto ai 1.802 del 2019. Questi dati sono stati presentati durante il convegno "L’hacker nel faldone", organizzato dal Consiglio dell’Ordine degli avvocati di Roma, che nel 2019 ha subito un attacco hacker agli account PEC di 30.000 avvocati. Questi numeri sottolineano l'importanza per i professionisti di proteggere adeguatamente i propri dati e di conoscere gli adempimenti previsti dal GDPR, il regolamento europeo 679/2016 sulla privacy.

Le linee guida sui data breach, emanate a inizio anno dal board dei Garanti europei della privacy (EDPB), forniscono chiaramente i casi in cui è necessario notificare l’Autorità della privacy in caso di violazione o perdita di dati personali. Queste linee guida delineano 18 scenari di data breach, alcuni dei quali sono attribuibili a errori umani.

Ad esempio, l'invio errato di un'email contenente informazioni estremamente riservate a destinatari non autorizzati o un dipendente infedele che utilizza una lista clienti del suo precedente datore di lavoro per ottenere vantaggi nel nuovo impiego. Altri scenari riguardano attacchi tecnologici, come i cryptolocker, con cui i cybercriminali cifrano i dati della vittima e richiedono un riscatto per rivelare la password di cifratura.

Quali sono le conseguenze di un data breach in uno studio professionale? Oltre ai danni materiali – ci sono numerose storie di studi che hanno dovuto chiudere a seguito della completa cifratura dei dati e dei backup – si aggiunge la perdita di fiducia e il danno reputazionale. Pertanto, è essenziale comprendere se e come notificare la violazione di dati al Garante della Privacy.

Il “data breach” secondo il GDPR

Una violazione dei dati, nota come data breach, implica la distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati. Se tale violazione presenta un rischio elevato per i diritti e le libertà fondamentali degli interessati, il GDPR impone al titolare di comunicare l'incidente a ogni interessato coinvolto.

La notifica deve essere effettuata entro 72 ore e senza "ingiustificato ritardo" dal momento in cui il titolare del trattamento è venuto a conoscenza della violazione. In caso di particolare complessità, il titolare può effettuare una notifica preliminare e fornire ulteriori dettagli successivamente.

Secondo l'articolo 33 del GDPR, è obbligatorio per il titolare conservare la documentazione di tutte le violazioni dei dati, registrandole nel registro degli incidenti informatici.

La valutazione d’impatto

Anche se l’EDPB ha delineato 18 scenari, ogni situazione di violazione dei dati è unica e richiede una valutazione individuale. È essenziale utilizzare un metodo di analisi del rischio, e uno dei migliori è fornito da ENISA (Agenzia europea per la sicurezza delle reti e dell'informazione). ENISA suggerisce di prendere in considerazione tre fattori durante la valutazione dell'impatto di una violazione dei dati personali: il contesto del trattamento dei dati, che tiene conto della natura dei dati coinvolti; la facilità con cui i soggetti interessati possono essere identificati a partire dai dati violati; e le circostanze specifiche della violazione. Al termine di questa valutazione (severity assessment), sarà possibile determinare la gravità della violazione dei dati e valutare, oltre che dimostrare, se è necessario notificare l'incidente agli interessati e alle autorità competenti.

1. Analisi Preliminare dell'Evento (Severity Assessment)

   • Funzione: Esperto IT, Referente privacy o DPO, Titolare

   • Tempo: 1 giorno

2. Classificazione dell'Evento

   • Funzione: Esperto IT, Referente privacy o DPO

   • Tempo: 8-12 ore

3. Registrazione dell'Incidente

   • Funzione: Referente privacy o DPO

   • Tempo: 20 ore

4. Valutazione del Rischio Effettivo

   • Funzione: Esperto IT, Referente privacy o DPO

   • Tempo: 36 ore

5. Misure di Mitigazione dell'Impatto

   • Funzione: Titolare, Esperto IT, Referente privacy o DPO

   • Tempo: 48 ore

6. Notifica al Garante della Privacy

   • Funzione: Referente privacy o DPO

   • Tempo: 60 ore

7. Notifica agli Interessati

   • Funzione: Referente privacy o DPO, Esperto in comunicazione

   • Tempo: 72 ore

8. Gestione del Piano Rimediale

   • Funzione: Esperto IT, Referente privacy o DPO, Titolare

   • Tempo: Termine attività

Se l'analisi del rischio indica la necessità di notificare il Garante, ci sono alcuni aspetti operativi importanti da considerare. Prima di tutto, è essenziale compilare il modulo di notifica disponibile sul sito dell'Autorità della privacy, che è in formato PDF modificabile. Il modulo contiene 29 domande che si suddividono in tre categorie principali: descrizione e conseguenze della violazione, misure adottate a seguito del data breach e comunicazione agli interessati.

Per quanto riguarda la descrizione della violazione, è importante notare che se non si dispone di tutte le informazioni necessarie entro le 72 ore previste dal GDPR, è possibile fare una notifica preliminare e fornire ulteriori dettagli successivamente. Le 72 ore iniziano a decorrere dal momento in cui il titolare viene a conoscenza della violazione dei dati, non dal momento in cui l'incidente si è verificato. Spesso, infatti, la violazione può essere scoperta molto tempo dopo che è avvenuta.

Un altro aspetto cruciale è il piano di rimedio, in cui devono essere indicate le misure di sicurezza adottate dopo l'incidente e quelle pianificate per il futuro. Nel caso di un errore umano, l'investimento dovrebbe concentrarsi sulla formazione preventiva per dimostrare che si è fatto tutto il possibile. In caso di un attacco informatico, sarà necessario rafforzare la sicurezza informatica dello studio professionale.