Tempo di lettura stimato: 10'
L’Autorità Garante per la protezione dei dati ha un problema: stanno arrivando centinaia di notifiche per violazioni dei dati personali, ma la maggior parte di queste o non sono violazioni o lo sono, per carità, ma non andrebbero segnalate!
Da maggio 2018 sono arrivate un sacco di richieste anche a noi. Gente nel panico più totale che non sa se notificare, se non notificare, se l’evento segnalato è una violazione oppure no. Il caos. Così noi ci abbiamo costruito su una barzelletta, che gira in PrivacyLab da allora.
La barzelletta della chiavetta USB che non andava segnalata
Un agente di vendita - che vende integratori per diventare belli, alti, con i capelli e tutti atletici - ogni mattina fa il suo giro. Va palestra per palestra a presentare i suoi prodotti, con il suo catalogo, il computer portatile con sopra i nomi dei clienti, cosa hanno comprato, cosa devono comprare e tutto il resto. L’agente ha anche una chiavetta USB. Ci mette sopra tutti i dati delle visite che deve fare, di chi ha comprato cosa, di chi è allergico a cosa – Peppino è allergico ai cereali e quindi prende solo i bibitoni senza cereali, Antonio invece non è allergico a nulla ma è un super pompato e quindi prende i bibitoni per super pompati, eccetera eccetera – insomma, ci mette tutte le informazioni che gli servono per vendere i bibitoni. Poi al venerdì torna in azienda e salva i dati della settimana nel computer dell’ufficio.
Un giorno va al bar. Prende un caffè. Lavora. Appoggia la chiavetta. Lo chiamano al telefono. Esce dal bar e si scorda la chiavetta. Una cosa che può succedere. Sulla chiavetta c'è il file Excel criptato con password con una copia di tutte le informazioni sulle vendite e i nomi dei clienti. Chiama in azienda il lunedì - perché si è accorto di aver perso la chiavetta il venerdì -, parla con il responsabile del CED e chiede che gli diano una nuova chiavetta USB.
Il responsabile del CED va nel panico. Suo cugino gli ha detto che adesso c'è il Data Breach e che lo arrestano se non notifica nelle 72 ore! Va dal titolare dell’azienda, racconta l’accaduto e dice: “Oddio cosa succede se non riusciamo a farlo in tempo? Le 72 ore stanno per scadere...”
Chiamano immediatamente l'avvocato. L’avvocato dice: “Notifichiamo al Garante!”
E il titolare: “Aspetta però… ma forse non serve…”
E l’Avvocato con tono perentorio: “Notifichiamo al Garante!”
Così parte questa catena di tira e molla, dove ad un certo punto arriva la richiesta a PrivacyLab.
Ci chiamano e ci chiedono: "Cosa dobbiamo fare?"
E noi: "Ma cosa c'era sulla chiavetta?"
E loro: “Un Excel con la ragione sociale e la partita IVA delle palestre che venivano visitate..."
E noi: "Ok... quindi?"
E loro, trattenendo un singhiozzo: “E c'erano anche il nome e il cognome dei referenti della palestra! Il nostro amico avvocato ha detto che dobbiamo fare la notifica al Garante del Data Breach, ed è già tardi, perché l'ha persa venerdì mattina! Le 72 ore scadono tra un po'... Oddio cosa succede!?! Oddio, cosa dobbiamo fare!?!"
E noi: “Secondo noi non va notificato”
E loro: “Ma l’avvocato…”
E noi: “Per noi non ce n’è bisogno. Però decide il titolare del trattamento, quindi…”
Cosa succede poi? Nonostante il nostro consiglio, l’azienda decide di fare la notifica al Garante. Il responsabile del CED arruffa su una lettera, la manda per PEC e chiude dicendo "Rimaniamo in attesa di ulteriori comunicazioni su come ci dobbiamo comportare."
Fin qui la barzelletta è una storia vera. Ci è capitata sul serio. Non sappiamo come sia andata a finire ma abbiamo ipotizzato quale potrebbe essere stata la risposta del Garante a questa richiesta e cioè: “Comprate un'altra chiavetta USB.”
Della serie: non rompete i coglioni con queste cose!
E invece sta succedendo proprio questo. Arrivano notifiche per cose che non stanno né in cielo né in terra! E perché sta succedendo? Fondamentalmente per due ragioni, che hanno un nome ben preciso: eccesso di paraculismo e ignoranza. Quindi o si segnala per mettere le mani avanti – l’avvocato ha detto che bisogna segnalare perché altrimenti se lo scopre il Garante finisci in galera - oppure segnali perché non sai.
Ma perché dobbiamo far perdere tempo al Garante con delle richieste che non hanno senso?
Teniamo a bada l’ansia da prestazione da Data Breach e usiamo un metodo per capire:
1) se l’incidente segnalato è una violazione oppure no (nel nostro esempio se la perdita della chiavetta USB è una violazione o no)
2) se la violazione va notificata oppure no.
2) se la violazione va notificata oppure no.
Per fare questo noi abbiamo sviluppato Gorilla Data Breach, un tool che serve proprio a gestire le violazioni. Ti guida nella valutazione dell’incidente e ti aiuta a capire se è un Data Breach e come comportarsi. Se lo è, applica processi assistiti per gestire la segnalazione della violazione, poi genera anche il registro e la documentazione per notificare al Garante.
Comodo. Utile. Ma un tool senza una testa che ragiona non basta. Bisogna anche prendere decisioni cum grano salis. Non basta dire “me l’ha detto il tool”.
Cos’è una violazione e quando va segnalata
Le violazioni dei dati personali possono essere accidentali – capitano per sbaglio o per errore - o volontarie, e sono:
1. Accesso non autorizzato (spionaggio se la violazione è volontaria) e si verifica se un terzo non autorizzato accede a dei dati personali.
2. Copia non autorizzata (furto se la violazione è volontaria) e si verifica quando un terzo non autorizzato ha copiato i dati dove non doveva.
3. Divulgazione non prevista (diffusione se la violazione è volontaria) e si verifica quando vengono diffusi dati personali che non dovevano essere divulgati.
4. Modifica non autorizzata (compromissione se la violazione è volontaria) e si verifica quando
un terzo modifica dati che non poteva modificare.
5. Perdita d’accesso (cifratura se la violazione è volontaria) e si verifica quando i dati personali vanno persi.
6. Cancellazione dei dati (distruzione volontaria se la violazione è voluta) e si verifica quando viene cancellato il file che conteneva dati personali che erano salvati solo lì.
Le violazioni vanno sempre documentate nel registro, ma quando notificarle?
Il GDPR ci dice che vanno notificate entro 72 ore dal momento in cui se ne viene a conoscenza ma solo se la violazione può mettere a rischio i diritti e le libertà degli interessati (cioè le persone fisiche a cui appartengono i dati personali violati). A chi notificare? Al Garante e/o agli interessati.
Te ne ho già parlato in questo approfondimento: Cosa devo fare in caso di Data Breach?
In questo articolo invece vediamo dei casi pratici e cerchiamo di capire se l’evento accaduto è una violazione e se è il caso di notificarla.
È un Data Breach? Esempi e casi pratici
Adesso prendiamo alcuni casi e cerchiamo di capire se sono violazioni oppure no e se vanno notificate oppure no.
Caso della struttura sanitaria che ha un portale dove i pazienti possono scaricare i referti
L’ospedale XYZ ha un contratto con una società esterna che gestisce una piattaforma web. La struttura sanitaria usa la piattaforma per caricare i PDF dei referti, così i pazienti li possono scaricare sul loro computer ed evitare la fila per il ritiro degli esami di persona.
Un giorno Antonio Rossi, paziente dell’ospedale, va sulla piattaforma per scaricare i suoi esami del sangue di routine – emocromo e così via – e si accorge che il documento non è suo ma è l’esame del colesterolo di Peppino Rossi. Scrive una mail alla struttura sanitaria per segnalare che c’è stato un errore e che ha già cancellato il file dal suo computer, poi chiede che gli mandino i suoi esami.
L’incidente è stato causato da un problema tecnico. La probabilità che si verificasse era bassissima. Quindi si è trattato di un caso più unico che raro, ma la sfiga ci vede bene ed è accaduto lo stesso.
Domanda: secondo te quello che è capitato è una violazione?
Risposta: sì, perché un terzo non autorizzato ha visto dati particolari (dati sensibili) di un altro.
Domanda: questa violazione va notificata?
Prima di rispondere, ti racconto cos’è accaduto dopo l’incidente.
Il DPO della struttura sanitaria valuta il caso con il team privacy interno e decidono di notificare al Garante. E sai cosa succede? Il Garante fa partire il procedimento sanzionatorio per una comunicazione di dati particolari a terzi non autorizzati. In pratica, un treno in faccia.
Forse, a mio parere, si poteva evitare. È vero che c’è stata una violazione, ma ha riguardato un unico caso, oltretutto per esami di routine – non HIV, tumori e altre malattie gravi – siamo sicuri che questo caso porterebbe a gravi conseguenza sui diritti e le libertà di Peppino? Ecco che valutare con Tools la presunta gravità diventa utilissimo per non farsi prendere né da ansia né da eccessiva faciloneria. Questa violazione poteva molto probabilmente essere riportata solamente nel registro delle violazioni. Poi l’ospedale e il responsabile esterno avrebbero dovuto prendere tutte le precauzioni del caso per evitare che si ripetesse, ma poteva finire lì. Invece l’ospedale, per eccesso di paraculismo, si è beccato nei denti un procedimento sanzionatorio.
Caso della società per il lavoro e dell’invio a centinaia di persone della posizione giuslavoristica di Antonio
Giulia lavora per una società di somministrazione di lavoro interinale. È l’addetta che invia le mail ai lavoratori. Prima di Natale, scrive una mail a 300 persone in somministrazione ad un’azienda cliente della società, per spiegare come devono gestire il piano ferie. Fa tutto bene – fa attenzione a mettere gli indirizzi in copia e non in chiaro, controlla che la lista per l’invio includa solo le persone interessate – ma invece di prende il file Excel con le indicazioni del piano ferie, per sbaglio allega alla mail il file con tutta la posizione giuslavoristica – dati anagrafici, inquadramento, legge 104, permessi, malattie eccetera eccetera – di Antonio, uno dei lavoratori interinali della lista. E spedisce la mail. Dopo qualche minuto, riceve la segnalazione di Antonio che furioso le chiede spiegazioni.
Domanda: secondo te quello che è capitato è una violazione?
Risposta: sì, perché terzi non autorizzati hanno visto i dati personali di un altro.
Domanda: questa violazione va segnalata?
Risposta: secondo me sì, perché i dati di Antonio che sono stati diffusi sono molti e in molti li hanno visti.
E se invece della posizione giuslavoristica, Giulia avesse inviato la lista con il numero di volte che Antonio ha usato la mensa aziendale? È una violazione da notificare?
No, perché non è una violazione e non c’è un rischio per i diritti e le libertà di Antonio.
Caso dell’azienda di profumi a cui vengono rubati 40 computer
L’azienda di profumi XYZ organizza il family day negli spazi aziendali. Durante l’evento uno dei partecipanti va in una stanza e apre la finestra. Nessuno se ne accorge. Di notte insieme ai suoi complici entra in azienda dalla finestra e ruba 40 computer con l’obiettivo di rivenderli. 30 computer sono formattati perché, allo spegnimento, in automatico si formattano e non contengono nessun dato personale.
Domanda: secondo te quello che è capitato è una violazione? E se sì va segnalata?
Risposta: no e no. I computer erano puliti e protetti e con c’era bisogno di fare alcuna notifica né di registrare nessuna violazione.
Caso del sistema di prenotazione alberghiera che subisce un attacco hacker
L’azienda che fornisce un sistema di prenotazione alberghiera online subisce un attacco. Gli hacker rubano un certo numero di mail e vedono quali utenti hanno prenotazioni in essere.
Antonio è un utente della piattaforma e ha prenotato la settimana bianca a Cortina con la famiglia all’Hotel XYZ. Dopo l’attacco hacker riceve una mail dall’albergo XYZ – una mail normalissima, dalla casella di posta dell’hotel – dove il finto addetto riepiloga i dettagli della sua prenotazione e chiede un acconto del 10%. La mail è falsa, ma sembra autentica.
Se Antonio avesse già mandato l’acconto e fosse uno un po’ sgamato, magari gli si accenderebbe la lampadina. Gli verrebbe il dubbio e chiamerebbe l’Hotel XYZ per sapere se effettivamente la mail l’hanno mandata loro. Ma nella maggior parte dei casi, dato che si tratta di piccoli importi, alle persone non viene questo scrupolo e cadono nella truffa.
Domanda: secondo te quello che è capitato è una violazione?
Risposta: sì, perché terzi non autorizzati hanno visto i dati personali di altri.
Domanda: questa violazione va segnalata?
Risposta: secondo me sì, ma agli interessati, non al Garante e non tanto per un problema legato al GDPR, ma piuttosto per evitare che le persone con prenotazioni in essere subiscano la truffa.
Sei un titolare del trattamento? Usa un metodo oggettivo per identificare le violazioni
![Cesoie - violazione dati]()
Prima di tutto devi avere un’ottima procedura di segnalazione sia esterna (da parte dei responsabili esterni) sia interna (da parte degli addetti). Poi devi spiegare ai responsabili esterni che se ricevono una segnalazione, non devono notificare al Garante. Perché se lo fanno, gli tagli la prima falange del dito, ma devono segnalare a te, titolare del trattamento. Sei tu che poi devi prendere le decisioni.
Poi devi capire se la segnalazione è una violazione.
Sono andati persi, rubati, cancellati eccetera dei dati personali?
Risposta: no. Allora non è una violazione.
Risposta: sì. Bene, allora la documenti nel registro delle violazioni e vai avanti.
Chiediti: La violazione lede i diritti e le libertà delle persone?
Risposta: no. Allora registra quello che hai fatto e che farai per risolvere il problema.
Risposta: sì. Allora devi decidere se notificare o meno e a chi (Garante e interessati).
In ogni caso devi documentare tutto quello che è stato fatto e perché.
Ricordati che se subisci una visita ispettiva non è più come una volta, dove magari si soffermavano solo sugli aspetti formali. Adesso ti chiedono ragione di quello che hai fatto e di dimostrare i ragionamenti che ti hanno portato a prendere le tue decisioni.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
