Procedura per la gestione di Data Breach per la Fondazione CNI ai sensi del GDPR (Regolamento Europeo 679/2016)
1.Premessa
Una violazione dei dati personali (c.d. data breach) può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.
2.Scopo del documento e ambito di applicazione
Il presente documento si prefigge lo scopo di indicare le modalità di gestione del data breach, nel rispetto della normativa in materia di trattamento dei dati personali, garantendo in particolare l’aderenza ai principi e alle disposizioni contenute nel Regolamento UE 679/2016.
In questo documento si sintetizzano le regole per garantire il rispetto dei principi esposti e la realizzabilità tecnica e la sostenibilità organizzativa, nella gestione del data breach, sotto i diversi aspetti relativi a:
- modalità e profili di segnalazione al Titolare
- modalità e profili di segnalazione all’Autorità Garante
- valutazione dell’evento accaduto
- eventuale comunicazione agli interessati
3.Definizioni
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4, punto 1).
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, punto 2).
Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia digitalizzato o meno, centralizzato, decentralizzato o ripartito in modo funzionale o geografico (art. 4, punto 6).
Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri (art. 4, punto 7). In questo contesto, titolari del trattamento è il Direttore generale della Fondazione CNI, Dott. Massimiliano Pittau.
Data Protection Officer: la persona fisica individuata come Responsabile della protezione dei dati personali ai sensi del GDPR (in particolare artt. 37, 38, 39).
Violazione dei dati personali (c.d. Data breach): la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4, punto 12).
Normativa e documenti di riferimento
- Regolamento UE 679/2016, considerando n. 85, 86, 87, 88 artt. 33, 34
- Guidelines on Personal data breach notification under Regulation 2016/679 – article 29 data protection working party (Adopted on 3 October 2017 – as last Revised and Adopted on 6 February 2018).
4.Gestione del data breach interno alla Fondazione CNI
Ogni dipendente e consulente autorizzato a trattare dati, qualora venga a conoscenza di un potenziale caso di data breach, avvisa tempestivamente il Titolare del trattamento. Quest’ultimo, valutato l’evento, anche avvalendosi della consulenza del DPO, se confermate le valutazioni di potenziale data breach, predispone l’eventuale comunicazione all’Autorità Garante da inviare senza ingiustificato ritardo e, ove possibile, entro 72 ore, da determinarsi dal momento in cui il titolare ne è venuto a conoscenza, cioè quando abbia un ragionevole grado di certezza del verificarsi di un incidente di sicurezza che riguardi dati personali. Oltre il termine delle 72 ore, la notifica deve essere corredata delle ragioni del ritardo.
Ai fini di una corretta classificazione dell’episodio, il Titolare del trattamento utilizzerà lo schema di scenario di data breach, come indicato al punto 7.
E' comunque fatta salva la possibilità di fornire successivamente all'Autorità Garante informazioni aggiuntive o dettagli rilevanti sulla violazione di cui il Titolare venga a conoscenza, a seguito della effettuazione di ulteriori indagini e attività di follow-up (c.d. notifica in fasi).
5.Gestione del data breach esterno alla Fondazione CNI
Ogniqualvolta il Titolare del trattamento si trovi ad affidare il trattamento di dati ad un soggetto terzo/Responsabile del trattamento, è tenuto a stipulare con tale soggetto uno specifico contratto che lo vincoli al rispetto delle istruzioni impartitegli dal titolare in materia di protezione dati: è necessario che la presente procedura di segnalazione di data breach sia inclusa nel suddetto contratto. Ciò al fine di obbligare il Responsabile ad informare il Titolare del trattamento senza ingiustificato ritardo, di ogni potenziale evento di data breach.
Ogni responsabile del trattamento, qualora venga a conoscenza di un potenziale data breach che riguardi dati della Fondazione CNI, ne dà avviso senza ingiustificato ritardo al Titolare del trattamento. Per “ingiustificato ritardo” si considera la notizia pervenuta al Titolare al più tardi entro 12 ore dalla presa di conoscenza iniziale da parte del Responsabile.
Il Titolare del trattamento, valutato l’evento, anche avvalendosi della consulenza del DPO, se confermate le valutazioni di potenziale data breach, predispone l’eventuale comunicazione all’Autorità Garante da inviare senza ingiustificato ritardo e, ove possibile, entro 72 ore, da determinarsi dal momento in cui il Titolare ne è venuto a conoscenza, cioè quando abbia un ragionevole grado di certezza del verificarsi di un incidente di sicurezza che riguardi dati personali. Oltre il termine delle 72 ore, la notifica deve essere corredata delle ragioni del ritardo.
Ai fini di una corretta classificazione dell’episodio, il Titolare del trattamento utilizzerà lo schema di scenario di data breach, come indicato al punto 7.
E' comunque fatta salva la possibilità di fornire successivamente all'Autorità Garante informazioni aggiuntive o dettagli rilevanti sulla violazione di cui il Titolare venga a conoscenza, a seguito della effettuazione di ulteriori indagini e attività di follow-up (c.d. notifica in fasi).
6.Modalità di comunicazione agli interessati
Nel caso in cui dal data breach possa derivare un rischio elevato per i diritti e le libertà delle persone, anche queste devono essere informate senza ingiustificato ritardo, al fine di consentire loro di prendere provvedimenti per proteggersi da eventuali conseguenze negative della violazione.
Il Titolare del trattamento predispone l’eventuale comunicazione all’interessato/agli interessati da inviarsi nei tempi e nei modi che lo stesso, anche attraverso la funzione consulenziale del DPO, individuerà come più opportuna come specificato nell’art. 34 del GDPR e tenendo conto di eventuali indicazioni fornite dall'Autorità Garante.
7.Schema di valutazione scenari – data breach
Di seguito sono illustrati alcuni esempi, non esaustivi, di possibili violazioni di dati personali, allo scopo di supportare i soggetti coinvolti nella procedura, nella valutazione in merito alla necessità di effettuare o meno la notifica di data breach all'Autorità Garante.
Tipo di Breach | Definizione | Estensione minima / Soglia di segnalazione | Esempi | Controesempi |
Distruzione | Un insieme di dati personali, a seguito di incidente o azione fraudolenta, non è più nella disponibilità del titolare, né di altri. In caso di richiesta del dato da parte dell’interessato non sarebbe possibile produrlo. |
Caratteristiche: Dati non recuperabili o provenienti da procedure non ripetibili. Rientrano tra i casi di segnalazione i soli dati appartenenti a documenti definitivi e già contrassegnati da un livello minimo di validazione. |
Guasto non riparabile dell’hard disk contenente documenti che, in violazione al regolamento, erano salvati localmente. Incendio di archivio cartaceo di documenti. |
Rottura di un PC che non contiene dati personali originali (in unica copia). Distruzione di un documento, ad esempio a causa di un guasto di sistema, durante la sua stesura nell’apposito applicativo. |
Perdita | Un insieme di dati personali, a seguito di incidente o azione fraudolenta, non è più nella disponibilità del titolare, ma potrebbe essere nella disponibilità di terzi (lecitamente o illecitamente). In caso di richiesta di dato da parte dell’interessato non sarebbe possibile produrlo, ed è possibile che terzi possano avere impropriamente accesso al dato. |
Caratteristiche: Dati non recuperabili o provenienti da procedure non ripetibili. |
Smarrimento di chiavetta USB contenente dati originali.
Smarrimento di fascicolo cartaceo personale dipendente. |
Smarrimento di un documento, ad esempio a causa di un guasto di sistema, appena avvenuta la stampa. |
Modifica | Un insieme di dati personali, a seguito di incidente o azione fraudolenta, è stato irreversibilmente modificato, senza possibilità di ripristinare lo stato originale. In caso di richiesta del dato da parte dell’interessato non sarebbe possibile produrlo con certezza che non sia stato alterato. |
Caratteristiche: Modifiche sistematiche su più casi. Rientrano tra i casi di segnalazione i soli dati appartenenti a documenti definitivi e già contrassegnati da un livello minimo di validazione. |
Guasto tecnico che altera parte dei contenuti di una procedura, compromettendo anche i backup. Azione involontaria, o fraudolenta, di un utente che porta alla alterazione di dati in modo non tracciato e irreversibile. |
Guasto tecnico che altera parte dei contenuti di una procedura, rilevato e sanato tramite operazioni di recovery. Azione involontaria di un utente che porta alla alterazione di dati tracciata e reversibile. |
Divulgazione non autorizzata | Un insieme di dati personali (e riconducibili all’individuo direttamente o indirettamente), a seguito di incidente o azione fraudolenta, viene trasmesso a terze parti senza il consenso dell’interessato. | Rientrano tra i casi di segnalazione i soli dati appartenenti a documenti definitivi e già contrassegnati da un livello minimo di validazione. | Consegna di un CD con dati degli utenti ad altra struttura senza autorizzazione. | Trasmissione non autorizzata di un documento non ancora validato dal proprio autore. |
Accesso non autorizzato | Un insieme di dati personali (e riconducibili all’individuo direttamente o indirettamente) sono stati resi disponibili per un intervallo di tempo a persone (anche incaricati dal titolare) non titolati ad accedere al dato secondo principio di pertinenza e non eccedenza. | Rientrano tra i casi di segnalazione i soli dati appartenenti a documenti definitivi e già contrassegnati da un livello minimo di validazione. | Accesso alla rete da persone esterne all’organizzazione che sfruttano vulnerabilità di sistemi. | Accesso non autorizzata di un documento non ancora validato dal proprio autore. |
Indisponibilità temporanea del dato | Un insieme di dati personali, a seguito di incidente, azione fraudolenta o involontaria, è non disponibile per un periodo di tempo che lede i diritti dell’interessato. | Indisponibilità dei dati personali oltre i tempi definiti dalla Fondazione. |
Infezione da ransomware che comporta la temporanea perdita di disponibilità dei dati e questi non possono essere ripristinati dal backup. Cancellazione accidentale dei dati da parte di una persona non autorizzata. |
Indisponibilità dei dati personali a causa della manutenzione programmata del sistema in corso. |
Un data breach, quindi, non è solo un attacco informatico, ma può consistere anche in un accesso abusivo, un incidente (es. un incendio o una calamità naturale), nella semplice perdita di un dispositivo mobile di archiviazione (es. chiavetta USB, disco esterno), nella sottrazione di documenti con dati personali (es. furto di un notebook di un dipendente).
I casi di data breach per le casistiche già descritte si estendono ai documenti cartacei o su supporti analogici. La comunicazione involontaria di documenti, o in generale di dati, che non abbiano vero senso compiuto/riconducibilità verso l’interessato non è considerato data breach, ma è considerato un normale errore procedurale.
8.Registro delle violazioni
Il Titolare del trattamento, in caso di data breach, cura l’eventuale predisposizione e l’aggiornamento del registro delle violazioni, ai sensi dell’art. 33, comma 5 del GDPR.