Indice probabilistico nella valutazione di un data breach
Il GDPR utilizza 20 volte il concetto di probabilità e le parole ”probabilità” ed “improbabile”, che ricorrono 17 volte, in 14 casi sono associate al concetto di rischio.
Il dato è importante soprattutto quando si parla di data breach. Quali sono allora i criteri per calcolare la probabilità di un rischio a seguito di un data breach?
Come si calcola la probabilità di un data breach. Un’affermazione ben nota a chi gestisce i data breach è l’inciso presente anche all’articolo 33 del Regolamento UE 2016/679: “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità (…) a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Il concetto è preliminarmente affrontato nei considerando 75, 76, 77, 85 del GDPR ed in una più ampia e dettagliata disamina nelle Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679: documento WP250rev.01.
Quali sono i rischi?
Il primo passo è l’identificazione dei rischi per i diritti e le libertà dell’interessato che possono cagionare un danno fisico, materiale o immateriale.
L’elenco dei rischi rilevanti ai fini di una valutazione è contenuto nel Considerando 75 e nel modulo di notifica reso disponibile dall’autorità.
Di seguito una possibile associazione di alcuni eventi che generano tali rischi.
Rischi | Esempio di eventi che possono generare il rischio |
Perdita del controllo dei dati personali | Es. Furto di un documento di identità. Furto di un device |
Limitazione dei diritti | Es. Furto di un documento di identità |
Discriminazione | Es. Divulgazione di una malattia a soggetti non autorizzati |
Furto o usurpazione d’identità | Es. Furto di un documento di identità. Phishing. Divulgazione di documenti riservati. Divulgazione delle credenziali di accesso. |
Frodi | Es. Divulgazione di documenti riservati. Divulgazione delle credenziali di accesso. |
Perdite finanziarie | Es. Phishing. Vishing |
Decifratura non autorizzata della pseudonimizzazione | Es. Accesso alle tabelle di corrispondenza. Attacco Hacker con esfiltrazione di dati |
Pregiudizio alla reputazione | Es. Divulgazione dello stato di salute |
Perdita di riservatezza dei dati personali protetti da segreto professionale | Es. Esposizione sul web di un dato coperto da segreto professionale. Erroneo invio di una email contenente dati coperti da segreto professionale |
Conoscenza da parte di terzi non autorizzati | Es. Divulgazione di un dato personale. Attacco Hacker con esfiltrazione di dati |
Qualsiasi altro danno sociale ed economico significativo |
Ma come si determina la probabilità?
“La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento” (Considerando 76).
Praticamente è la possibilità che, con i dati ottenuti, terzi possano dar luogo ad attività che generino uno dei rischi elencati.
Valore di probabilità minimo è 0,1
Il rischio è in realtà già insito nel trattamento dei dati personali, è possibile ridurlo ma mai eliminarlo del tutto. Assumendo pertanto una metodologia di calcolo che ci consenta di stimare la probabilità di un rischio il valore più basso di probabilità dovrebbe teoricamente essere vicino allo zero ma mai del tutto impossibile ovvero uguale a zero.
I fattori aggravanti e attenuanti del rischio sono:
L’affidabilità del soggetto che dispone dei dati è un valore che attenua il rischio. Es. nel caso di una email con dati personali inviata accidentalmente all’ufficio sbagliato di un’organizzazione o a un’organizzazione fornitrice utilizzata frequentemente, si potrebbe assumere che il soggetto sia un soggetto affidabile.
“Il titolare del trattamento può chiedere al destinatario di restituire o distruggere in maniera sicura i dati ricevuti. In entrambi i casi, dato che il titolare del trattamento ha una relazione continuativa con tali soggetti e potrebbe essere a conoscenza delle loro procedure, della loro storia e di altri dettagli pertinenti, il destinatario può essere considerato “affidabile”.
Altri fattori che potrebbero indicare l’affidabilità del/i soggetto/i che dispone/dispongono dei dati, a parere di chi scrive, sono:
-La collaborazione (es. il soggetto stesso comunica il data breach al Titolare):
-Rapporti in essere con il Titolare (es. cliente, dipendente, fornitore del Titolare) e relative clausole di salvaguardia insite nei contratti (es. clausole di riservatezza)
L’inaffidabilità del soggetto che ha avuto accesso ai dati rappresenta invece un fattore aggravante del rischio. Es. l’hacker che accede al sistema informatico si può assumere che sia un soggetto il cui obbiettivo è generare molto probabilmente un danno agli interessati.
Cifratura del dato
La cifratura può rappresentare un altro elemento dirimente. Se l’algoritmo di cifratura di un dato esfiltrato (es. database cifrato) è robusto si può verosimilmente affermare che la probabilità di accesso al dato è bassa. Allo stesso tempo un algoritmo di cifratura non robusto può abbassare ma non ridurre notevolmente la probabilità di un rischio.
Altre misure di sicurezza. Anche le misure di sicurezza applicate, anche le più banali (es user e password, pin etc), incidono sulla probabilità.
Il backup del dato per esempio può essere addirittura la misura di sicurezza “salvazienda”. Un file cancellato per errore potrebbe per esempio essere fonte di rischio (es. perdita di benefici fiscali, rimborsi, danni economici di varia entità etc). Il backup del file eviterebbe l’esposizione al rischio quindi alla notifica.
Alcuni assunti
Quale è la probabilità di un data breach che coinvolge solo pochi dati personali? “È improbabile che la divulgazione del nome e dell’indirizzo di una persona fisica in circostanze ordinarie causi un danno sostanziale” (Pagina 26 WP250).
Ogni evento va comunque valutato caso per caso.
Per stimare i valori di probabilità vanno considerate natura, ambito, contesto e finalità del trattamento pertanto non è possibile determinare la probabilità senza disporre di una dettagliata cronologia degli eventi ed un censimento dei dati, soggetti, sistemi etc coinvolti. Inoltre, non si può prescindere da una dettagliata conoscenza del contesto e dei rischi di riferimento.
Per esempio, non è possibile determinare la probabilità di un rischio frodi se non si conoscono gli scenari e le tipologie di frodi (modalità e dati coinvolti).
Ancora una volta è fondamentale che i “data protection men” siano tuttologi o, più realisticamente, studiosi, curiosi e supportati da un team multidisciplinare.