MESSI A RISCHIO I DATI PRIVATI DI 500mila UTENTI DA GOOGLE+, il socialnetwork di Google! Una notizia grossa, che ha a che fare in generale con il GDPR, il principio dell'ACCOUNTABILITY e in particolare con il DATA BREACH. Cogliamo quindi l’occasione per regalarVi un approfondimento proprio su quanto previsto dal nuovo Regolamento UE 2016/679!

Nelle settimane scorse, ne ha parlato per primo il Wall Street Journal, IL SOCIAL GOOGLE+ E’ STATO CHIUSO PER UN BUG, scoperto nel mese di Marzo, che avrebbe messo a rischio per anni i dati privati degli account di 500mila utenti.
A causa di un problema di software è stato dato accesso ai dati agli sviluppatori esterni al gruppo mettendo così a rischio la privacy degli utenti per un periodo di diversi anni, tra il 2015 e il marzo 2018, fino a quando, cioè, Google avrebbe scoperto e risolto il problema. E la società ha preferito tacere, non rivelarlo, sostenendo che non c’erano prove di abusi esterni o che i dati fossero stati sottratti, anche se non poteva essere certa di una tale conclusione al 100%.
A salvare Google dalla multa massima fino al 4% del fatturato mondiale annuo dell’esercizio precedente, come da sanzioni definite dalla Nuova Normativa Europea 2016/679, per non avere avvertito i regolatori entro le 72 ore successive alla scoperta dell’incidente, potrebbe essere il fatto che il GDPR è entrato in vigore al 25 Maggio mentre l’incidente e’ stato archiviato a Marzo.

Quello che è successo è un esempio di DATA BREACH! E l’occasione ci è allora gradita per approfondirlo. Con il termine Data Breach si intende un incidente, una violazione della Sicurezza IT in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Solitamente si realizza con una divulgazione di dati riservati o confidenziali all’interno di un ambiente privo di misure di sicurezze, in maniera involontaria o volontaria. Tale divulgazione può avvenire in seguito a:
- PERDITA ACCIDENTALE: smarrimento di una chiavetta USB contenente dati riservati;
- FURTO: di un notebook contenente dati confidenziali;
- INFEDELTA’ AZIENDALE: una persona che avendo autorizzazione ad accedere ai dati ne produce una copia distribuita in ambiente pubblico;
- ACCESSO ABUSIVO: accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite.

Una delle novità più significative introdotte dal nuovo Regolamento UE sulla Protezione dei dati (il GDPR) consiste nell’obbligo, per amministrazioni pubbliche e aziende, di avvisare, in tempi molto rapidi, l’Autorità (il Garante) e gli Utenti in caso di gravi violazioni a seguito di attacchi informatici o di eventi avversi (ad esempio incendi) che possano comportare la perdita, la distruzione o la diffusione indebita di dati.
La segnalazione deve essere effettuata dal Titolare del Trattamento in modo chiaro e specifico, nel più breve tempo possibile, e deve riportare la natura della violazione, le circostanze ad essa relative, le sue probabili conseguenze e i provvedimenti adottati (o che si intendono adottare) per porvi rimedio e attenuare i possibili effetti negativi.
Più nello specifico la notifica delle eventuali violazioni dei dati deve avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuti a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendano inintelligibili i dati. Inoltre ricordiamo che in capo ai Titolari dei Trattamenti vige pure l’obbligo di condurre una preliminare ricognizione dei dati trattati e dei rischi ai quali sono soggetti, cui dovrà seguire l’adozione di idonee misure di sicurezza. Ovvero la Prevenzione di Data Breach passa dalla valutazione dei rischi e dalla definizione di misure di tipo tecnologico e organizzativo. Ad esempio, lo standard ISO 27040 si occupa di storage security e indica alcune linee guida per evitare che si verifichino episodi di data breach. In particolare fornisce una panoramica sui concetti di sicurezza dello storage con linee guida sugli aspetti di minacce, vulnerabilità e controlli associati a scenari di archiviazione tipici e alle aree di tecnologia di archiviazione. Inoltre, fornisce riferimenti ad altri standard internazionali su pratiche applicabili alla sicurezza di archiviazione.

La notifica deve contenere descrizioni e/o comunicazioni de:
- LA NATURA DELLA VIOLAZIONE DEI DATI personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- il nome e I DATI DI CONTATTO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI o di altro punto di contatto presso cui ottenere più informazioni;
- LE probabili CONSEGUENZE DELLE VIOLAZIONI DEI DATI personali;
- LE MISURE ADOTTATE o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.

In Italia prima dell’approvazione del Regolamento erano già presenti obblighi di notifica in 4 fattispecie di trattamento, che in caso di Data Breach, devono effettuare la notifica al Garante Privacy con un termine diverso:

- Settore Comunicazioni Elettroniche (Prov. G arante 161/2013) ovvero Società Telefoniche e Internet Service Provider: obbligo di comunicazione entro 24 ore dalla scoperta dell’evento, fornire al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione. Inoltre è previsto l’obbligo di informare ciascun utente coinvolto entro 3 giorni dalla scoperta comunicando gli elementi previsti dal Regolamento 611/2013 e dal provvedimento del Garante n. 161 del 4 aprile 2013. La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati.

- Biometria (Provv. Garante 513/2014): obbligo di comunicare entro 24 ore dalla conoscenza del fatto, con comunicazione tramite apposito modello di tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi.

- Dati Sanitari inseriti in Dossier Elettronico (Provv. Garante 331/2015): obbligo di comunicare entro 48 ore dalla conoscenza del fatto, con comunicazione tramite apposito modello tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario.

- Dati comunicati fra PA (Provv. Garante 393/2015): obbligo di comunicare entro 48 ore dalla conoscenza del fatto, con comunicazione tramite apposito modello tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati.

Per prevenire, gestire e risolvere episodi di Data Breach, (perdita e/o distruzione dei dati personali) è necessario:
- Adottare un protocollo di risposta;
- Effettuare test periodici per controllare la validità del protocollo;
- Ottenere una copertura assicurativa per eventuali casi di data breach;
- Tenere un registro dei casi di data breach;
- Compiere attività di indagine per individuare la natura e la portata della violazione.

Nel caso in cui le PA o le Imprese non rispettino gli obblighi del GDPR, in materia di Data Breach, sono previste SANZIONI PECUNIARIE fino a 10.000.000 euro o per le imprese fino al 4% del fatturato mondiale annuo dell’esercizio precedente!
Più nello specifico, sono previste le seguenti sanzioni amministrative:
- da 25mila a 150mila euro, per mancata o ritardata comunicazione al Garante:;
- da 150 euro a 1000 euro per ogni società, ente o persona interessata, per omessa o mancata comunicazione agli utenti;
- da 20mila a 120mila euro, per mancata tenuta dell’inventario delle violazioni aggiornato.

Concludiamo ricordandovi che REGOLAMENTO 679, è in grado di offrire la propria consulenza anche in caso di DATA BREACH, per un Audit finalizzato la valutazione dei rischi, l’individuazione di soluzioni tecnologiche migliorative, la creazione di un team di incident response per reagire agli incidenti laddove dovessero verificarsi.
Per INFO e/o contatti rispondiamo a info@regolamento679.com e a cell. +39 3664515806 o +39 3426781545.

FONTI CONSULTATE e/o UTILIZZATE
https://www.agendadigitale.eu/sicurezza/data-breach-nel-gdpr-cose-e-cosa-sapere-per-segnalazione-e-prevenzione/
http://www.unolegal.it/data-breach/