Data breach, da quando decorrono le 72 ore per la notifica?
La conoscibilità del data breach, il “giochetto” delle 72 ore e la negoziazione con il Responsabile del Trattamento dei termini di notifica di un data Breach.
Cosa è un data breach
Il data breach è un violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Un data breach può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Entro quando notificare un data breach
In caso di violazione dei dati personali (c.d. data brecah), ai sensi dell’art 33 del GDPR, “il titolare del trattamento notifica la violazione all’autorità di controllo competente (…) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Il responsabile del trattamento dal canto suo “informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”.
Entro quando il Responsabile deve notificare un data breach
Ma quindi il Responsabile quando deve notificarlo?
L’art 33 del GDPR prevede che il Responsabile del trattamento dal canto suo “informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza del data breach”.
La risposta è quindi immediatamente, o meglio, “senza ingiustificato ritardo”.
Pattuire con il Responsabile un termine di notifica diverso, per esempio entro 48 ore, significherebbe derogare alla immediata conoscibilità di un data breach e quindi mediare sui diritti e le libertà degli interessati coinvolti.
È plausibile che le procedure di rilevazione di un data breach da parte del Responsabile in qualche caso possano richiedere qualche ora prima che la comunicazione sia trasmessa al Titolare (pensiamo soprattutto alle grandi realtà). Non può essere invece ammessa una notifica che preveda sempre e comunque un termine di 24, 36, 48 ore in totale deroga alla norma.
Il rischio è che venga preclusa al Titolare la possibilità di comunicare il data breach all’interessato “senza ingiustificato ritardo” (art 34 del GDPR) e/o finalizzare la notifica entro 72 ore al Garante Privacy.
La notifica dovrà pertanto sempre avvenire nel minor tempo possibile e senza ingiustificato ritardo.
Affidarsi ad un Responsabile che ritarda la comunicazione di un data breach per ragioni più o meno sostenibili esporrebbe del resto il Titolare al rischio di una violazione degli obblighi previsti dall’art 28 del GDPR: ricorrere a “responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
E internamente all’azienda, da quando decorrono le 72 ore per la notifica del data breach?
In realtà in soccorso arrivano le indicazioni fornite dalle Linee guida sulla notifica dei data breach del WP Art29 – WP 250.
Le Linee guida stabiliscono che l’obbligo di notifica in capo al titolare del trattamento decorre da quando ne viene effettivamente a conoscenza. Le Linee Guida parlano di “ragionevole certezza”.
Ragionevole certezza
“Il Gruppo di lavoro ritiene che il titolare del trattamento debba considerarsi “a conoscenza” nel momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha portato alla compromissione dei dati personali”
Il momento esatto della conoscenza ovvero l’orario da quando far partire il conto alla rovescia “dipenderà dalle circostanze” del data breach. “In alcuni casi sarà relativamente evidente fin dall’inizio che c’è stata un data breach, mentre in altri potrebbe occorrere del tempo per stabilire se i dati personali sono stati compromessi”.
Vi è una ragionevole certezza, per esempio, quando si ha conferma che l’incidente di sicurezza ha coinvolto anche i dati personali. Oppure quando vi è la conferma che il dato personale è stato esfiltrato, visualizzato ed in genere “trattato”.
Alcuni esempi:
- L’azienda rileva che c’è stato un accesso fisico non autorizzato in azienda ma non ha sin da subito la certezza che siano coinvolti dati personali;
- L’information Technology rileva che il pc di un dipendente è infetto da un ransomware. Anche considerata la mansione del dipendente, non vi è conferma che siano coinvolti dati personali;
In caso di perdita di una chiave USB contenente dati personali non crittografati spesso non è possibile accertare se persone non autorizzate abbiano avuto accesso ai dati. Tuttavia, anche se il titolare del trattamento non è in grado di stabilire se si è verificata una violazione della riservatezza, tale caso deve essere notificato, in quanto sussiste una ragionevole certezza del fatto che si è verificata una violazione della disponibilità; il titolare del trattamento si considera venuto “a conoscenza” della violazione nel momento in cui si è accorto di aver perso la chiave USB.
WP Art 29 – WP250
Un terzo informa il titolare del trattamento di aver ricevuto accidentalmente i dati personali di uno dei suoi clienti e fornisce la prova della divulgazione non autorizzata. Dato che al titolare del trattamento è stata presentata una prova evidente di una violazione della riservatezza, non vi è dubbio che ne sia venuto “a conoscenza”
WP Art29 – WP250
Il timer del data breach
Talvolta si usa far partire il contatore dall’orario di inoltro di un’email che, per esempio, contiene le informazioni essenziali per la valutazione. In altri casi potrebbe essere utile utilizzare un sistema interno al fine di tracciare (es. mediante un log) la data e l’orario dell’inoltro della segnalazione.
I riferimenti utili saranno quelli della comunicazione che contiene gli elementi essenziali ai fini della determinazione della “ragionevole certezza” che è avvenuto un data breach. Non necessariamente corrisponderà con la prima comunicazione interna.
Il periodo di indagine non deve essere calcolato nelle 72 ore
Infatti, se un dipendente o un Responsabile “informa il titolare del trattamento di una potenziale data breach (…) il titolare del trattamento può effettuare una breve indagine per stabilire se la violazione si sia effettivamente verificata. Durante il periodo di indagine il titolare del trattamento non può essere considerato a conoscenza”
Non sarebbe tuttavia ammissibile un periodo di indagine troppo lungo e le analisi dovranno essere avviate immediatamente ed effettuate nel minor tempo possibile. Ciò anche a riprova dell’effettiva consapevolezza dell’importanza della gestione dei data breach e la relativa attenzione nei riguardi degli interessati. Attenzione rivolta anzitutto ai loro diritti e libertà.
“Queste azioni preliminari dovrebbero essere completate subito dopo l’allerta iniziale (ossia quando il titolare o il responsabile del trattamento sospetta che si sia verificato un incidente di sicurezza che potrebbe interessare dati personali). Dovrebbe richiedere più tempo soltanto in casi eccezionali.”
E’ fondamentale l’attenzione che il titolare del trattamento pone nelle procedure interne per la gestione dei data breach. Procedure che devono essere preliminarmente disponibili, conosciute e applicate nonché finalizzate a rilevare le irregolarità nel trattamento, e soprattutto i data breach, immediatamente.
Saranno utili meccanismi di rilevazione automatica degli incidenti di sicurezza informatica (non solo dei data breach). Saranno utili procedure di segnalazione e dettagliati piani di intervento che coinvolgano tutte le figure chiave (es. CISO, Physical Security Manager, Communication Manager). Anche il SOC (Security Operation Center), ove presente, è fondamentale che venga da subito coinvolto. Ciò al fine di garantire la “ragionevole certezza” che siano coinvolti dati personali.