Business

Panico da GDPR 2018, perché l’articolo 33, il data breach e l’obbligo di notifica spaventano le imprese. Cosa sono e cosa fare

20 Febbraio 2018

GDPR significato, GDPR compliance, GDPR cosa fare… sul web, in azienda a tutte le latitudini, da tempo, le ricerche, le richieste di informazioni da parte di CIO e fornitori di servizi IT sono rivolte in questa direzione.

La rotta, chiara, netta, urgente è quella della nuova normativa europea per la gestione di privacy e informazioni critiche, il tanto discusso, temuto, abusato GDPR.

Il motivo di tanto interesse? Semplice, il GDPR entrerà ufficialmente in vigore, in Italia, dal prossimo 25 maggio 2018 (per la precisione, il GDPR è entrato in vigore il 24 maggio 2016, ma diverrà pienamente applicabile appunto dal 25 maggio 2018, abrogando la Direttiva 95/46/CE).

Una data diventata ormai tormentone, una sorta di sveglia, un appuntamento non procrastinabile (la legge è infatti europea e l'Italia è uno degli ultimi Paesi ad allinearsi) con la necessità di adeguamento pena sanzioni rilevanti e parecchio dannose per l'intero business aziendale.

Si parla infatti di multe che possono arrivare fino al 4% del fatturato complessivo di una azienda e di una serie di disposizioni, obblighi e adempimenti molto complessi, puntuali e spesso, come nel caso del temutissimo articolo 33 che impone l'obbligo di notifica alle autorità in caso di furto o perdita di dati, di regole che poco hanno a che fare con le abitudini e il DNA del nostro tessuto imprenditoriale…

…ma andiamo con ordine.

GDPR compliance, un tema chiave per i service provider

Come spesso accade quando in Italia c'è di mezzo un adeguamento normativo, come detto, il mercato si muove con informazioni mirate, eventi, campagne di sensibilizzazione.

Del resto, al di là delle multe, il tema è parecchio sensibile, come spiega Gabriele Faggioli, presidente del Clusit, «Il GDPR è un testo nato soprattutto per facilitare e seguire il trend che porta i sistemi informativi da dentro le imprese a fuori, in direzione di provider e fornitori esterni che, in quanto tali, gestiranno sempre più informazioni, dati sensibili, business…».

Chiamatelo cloud, chiamatelo esternalizzazione… il GDPR insomma è un passaggio chiave anche e soprattutto per tutto il mondo di coloro che di mestiere fanno i fornitori di servizi IT per conto di imprese di ogni forma e dimensione.

E benché non esista un decalogo formale da rispettare che renda un prodotto o un servizio “GDPR compliant”, è però vero che esistono delle indicazioni e procedure ben evidenziate nell'articolo 32 che dovrebbero far parte delle best practice. 

GDPR compliace, cosa è il Data Breach e quali gli obblighi

Proprio l'articolo 33 del nuovo regolamento sembra essere uno dei temi più critici per le imprese. Si parla infatti dell'obbligo di "notificare" una perdita, un blocco o la corruzione di dati sensibili entro 72 ore dalla rilevazione.

Un tema da sempre sensibile in un Paese funestato, come pochi, da piaghe ricorrenti come Ransomware e pizzo digitale in serie. Piaghe che, appunto, trovano continuo terreno fertile per la mancanza della percezione del rischio nell'uso degli strumenti digitali ma anche, e soprattutto, per una atavica “non” volontà di mettere a fattor comune vulnerabilità, notizie di attacchi e furti di dati.

Questioni di reputazione, competizione… Questioni che ora però il GDPR ridisegna in maniera radicale: vediamo come e perché.

Intanto le definizioni.

Il “Data breach”, termine ormai di uso quasi comune, "indica ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l'accesso ai dati personali”.

Questa la definizione letterale presa direttamente dal GDPR, il Regolamento (UE) 2016/679 del Parlamento europeo. Proprio Il GDPR, come detto, regolamenta il data breach con un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.

Un approccio nuovo e più rigido rispetto a quello della Direttiva 95/46/CE, che, come spiega in una recente intervista Giusella Finocchiaro, Professore ordinario di Diritto privato e Diritto di Internet all'Università di Bologna, e Avvocato, non dispone alcun obbligo generalizzato di notifica.
 


 

GDPR e data breach perché e quando la notifica

Il punto chiave alla base dell'articolo 33 del GDPR è quello che ruota intorno a come valutare la necessità o meno di avviare una procedura di notifica.

Il criterio cardine, spiega il regolamento, è la probabilità che la violazione possa porre a rischio (per la notifica all'autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui. «Appurato il rischio conseguente dalla violazione, gli artt. 33 e 34 del GDPR indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach»
 
GDPR e data breach, 72 ore per la notifica a partire da?

L'art. 33 del GDPR oltre a imporre la notifica di un data breach esplicita chiaramente anche i tempi.

Le autorità di controllo devono infatti essere “notificate” entro 72 ore dal momento in cui ne viene a conoscenza. Si parla dunque dell'esatto momento in cui il titolare acquisisce consapevolezza dell'avvenuta violazione.

Ovviamente però il pensiero va a quelle, tantissime, imprese italiane, da tempo, dati del Clusit alla mano, vittime di malware e furto telematico di dati senza che nessuno ne sia a conoscenza e per mezzo di strumenti informatici molto sofisticati.

Anche in questo caso però il GDPR è molto chiaro «mentre alcune violazioni sono facilmente rilevabili, per altre sono necessarie indagini più approfondite. In questi casi, durante la fase di investigazione, il titolare può essere considerato come privo di un grado di conoscenza tale da far scattare immediatamente l'obbligo di notifica».

Ovviamente, precisano molti legali, il passaggio investigativo non deve essere usato e “abusato” per prorogare il termine di notifica. Resta il fatto però che, legittimamente, molte imprese e molti fornitori di servizi IT, lamentano a oggi la difficoltà nell'essere davvero tempestivi ed esaustivi nell'avere un quadro completo del numero di dati sottratti e delle persone coinvolte.

Anche su questo fronte però il GDPR cerca di porre rimedio, con strumenti come l'approssimazione. Ovvero strumenti in base ai quali «il titolare che non sia ancora in grado di conoscere con certezza il numero di persone e di dati personali interessati dalla violazione può comunicarne in prima battuta un ammontare approssimativo, provvedendo a specificare il numero esatto a seguito di accertamenti».

Per quanto concerne invece l'autorità competente cui rivolgersi «ciascuna autorità di controllo è competente per l'esercizio dei compiti e dei poteri assegnatele sul territorio del proprio Stato membro. Dunque, se la violazione si verifica in un determinato Stato membro, sarà all'autorità garante di quello Stato che dovrà essere presentata apposita notifica».

GDPR cosa fare, eccome come avvisare/tutelare chi ha “perso” i dati

Ma a "spaventare" le imprese e i manager italiani alle prese con il GDPR non ci sono solo le multe o l'obbligo di notifica.

L'articolo 34 prevede infatti per i titolari, come anticipato, l'obbligo di comunicare agli interessati il "furto" o perdita di informazioni critiche, il tutto per consentire di attivarsi a tutela dei propri interessi.

Un passaggio chiave anche questo per i fornitori di servizi IT che si trovano a gestire dati e informazioni critiche di numerosi clienti e imprese.

Notifica e comunicazione non sono obblighi di uguale natura per il GDPR. Nel primo caso basta un rischio semplice per determinare il dovere di notifica, nel secondo caso serve un rischio "elevato" per attivare l'obbligo di comunicazione.

Sempre a livello di comunicazione ci sono regole precise che devono essere rispettate. L'articolo 34 parla infatti di modalità di comunicazione diretta con i soggetti interessati (quali email, SMS o messaggi diretti). Il messaggio deve poi essere comunicato in maniera evidente e trasparente, evitando di essere "mischiato" all'interno di update generali o newsletter, che potrebbero essere fraintesi dai lettori.
 
GDPR e Data Breach, come si valutano rischi e danni

In caso di Data Breach, oltre al tema della notifica e della comunicazione c'è, in prima istanza, il passaggio fondamentale della valutazione del rischio e della capacità, da parte del titolare del trattamento, di scegliere misure di ripristino adeguate per arginare o eliminare l'intrusione, garantire la continuità di servizio e decidere in tema di notifica ecc.

In questo senso, il GDPR si sofferma sulle conseguenze della violazione che infatti variano a seconda della tipologia di violazione e della natura dei dati violati (violazione di riservatezza, di accessibilità o di integrità dei dati; dati sanitari, documenti di identità o numeri di carte di credito…); la facilità con cui potrebbero essere identificati gli utenti oggetto di furto o danneggiamento; la gravità delle conseguenze sugli individui in termini di potenziali danni; speciali caratteristiche e numero degli individui interessati; particolari caratteristiche del titolare.

Una volta delineato il livello di rischio, il titolare potrà determinare la necessità o meno di eseguire la notifica all'autorità e la comunicazione agli individui interessati. «A titolo esemplificativo – spiega ancora Giusella Finocchiaro – , quindi, nel caso una media company perda il temporaneo accesso agli indirizzi email dei propri clienti a causa di un blackout, non sarà necessario procedere alla notifica dell'evento. Al contrario, la temporanea perdita di accesso ai dati sanitari dei pazienti di un ospedale, deve essere considerato un evento che pone a rischio (anche elevato) i diritti degli individui e dovrà perciò essere correttamente gestita ai sensi degli artt. 33 e 34 del GDPR». 
 

Autore
Marco Lorusso
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.