Data Breach e GDPR: profili operativi e best practices internazionali

Partiamo da questo presupposto: ogni data breach ha, sempre con maggiore frequenza, rilevanza transazionale. Basti pensare ai casi in cui i target di attacco sono gruppi multinazionali o cloud provider che operano su più Stati Membri dell’Unione Europea. Questi fenomeni hanno reso evidente la particolare complessità della procedura di segnalazione di un data breach in grado di compromettere i dati personali relativi a cittadini appartenenti a più giurisdizioni europee, complessità che emerge chiaramente dalla lettura di un recente paper redatto dai rappresentanti dei Garanti per la Protezione dei dati personali di cinque Stati Membri (Italia, Spagna, Francia, Germania, Grecia). Tale documento racchiude infatti le prime considerazioni in tema di data breach ricavate dallo studio condotto alla fine del 2015 dal Joint Research Centre della Commissione Europea (DG-JRC) in collaborazione con DG-JUST (Direzione Generale della Giustizia e dei Consumatori).

Lo studio si è tradotto in una simulazione (o “cyber exercise”) che ha visto coinvolti Francia, Germania, Grecia, Irlanda, Italia, Polonia e Spagna, e il cui scopo è stato quello di valutare il livello di preparazione degli Stati Membri al fine di prevenire, o comunque, contenere, i danni derivanti da attacchi informatici di portata transnazionale e, in ultima istanza, di promuovere forme efficaci di collaborazione tra Stati Membri. Questo tipo di “esercizio” è di grande utilità soprattutto alla luce della prossima applicazione del Regolamento Europeo sulla Privacy (“GDPR”) a partire da maggio 2018.

I risultati hanno evidenziato, come era ipotizzabile, i seguenti limiti: in primo luogo, manca una lista di referenti (“point of contact”) dei vari Stati Membri, circostanza che genera non pochi problemi in termini logistici e comunicativi in caso di situazioni di urgenza; altrettanto, manca una procedura che consenta uno scambio di informazioni sicuro e, per quanto possibile, anonimo; da ultimo, non è stata ancora trovata una soluzione ai ben noti problemi di giurisdizione e legge applicabile, ulteriormente amplificati dai problemi di comunicazione connessi alla compresenza di 24 lingue ufficiali dell’Unione Europea utilizzate in caso di segnalazione dai singoli Garanti dei vari Stati Membri.

La necessità di superare questi limiti diventa una priorità che può e deve essere raggiunta, anche in considerazione del fatto che il Regolamento sulla Privacy di imminente applicazione, oltre ad estendere l’obbligatorietà della notifica dei data breaches a tutti i data controller stabiliti in Europa (artt. 33 e 34 GDPR), e non più a determinati categorie di soggetti come si prevedeva con il Regolamento della Commissione 611/2013, richiede una più ampia cooperazione tra le varie Autorità Garanti europee (artt. 60, 61 e 62 GDPR).

Rispondere in modo efficace a un data breach richiede pertanto un approccio multidisciplinare ed integrato, dove vengono presi in esame aspetti di natura tecnica, legale, finanziaria e sociale che coinvolgono tanto il singolo data controller, quanto le stesse Autorità Garanti di ogni Stato Membro.

Nello specifico, il citato studio del DG-JRC ha preso in esame due tipologie di attacchi: da un lato, quelli relativi ad un soggetto operante in ambito extra UE (ad esempio un cloud provider statunitense), ma che veda coinvolti cittadini Europei in qualità di interessati e, dall’altro, un soggetto che opera in ambito UE (si pensi ad esempio ad un gruppo bancario).

Le raccomandazioni che emergono dallo studio, oltre ad evidenziare la necessità di formare una lista di referenti suddivisi per ogni Stato Membro deputati alla gestione e al coordinamento delle informazioni rilevanti in caso di data breach e a promuovere l’organizzazione di altri “cyber exercise” prima dell’entrata in vigore del GDPR (iniziativa alla quale ad oggi non risulta sia stato dato seguito), si concentrano sostanzialmente su due aspetti fondamentali:

  1. deve essere previsto lo sviluppo di una piattaforma in grado di supportare lo scambio di informazioni in modo rapido e sicuro, in grado di sostituire l’utilizzo (insicuro) dell’email. La stessa piattaforma, inoltre, potrebbe essere implementata da numerose altre funzionalità in grado di consentire il coordinamento tra le varie Autorità Garanti europee;
  2. al netto dell’introduzione della piattaforma, devono essere, comunque, previste delle misure tecniche idonee a garantire la sicurezza del flusso informativo tra i vari Stati Membri. Come, già nel 2010, aveva evidenziato alla Commissione Europea un noto ISP, questo tipo di notifiche potrebbe diventare un target molto allettante per i cybercriminali che potrebbero conoscere in tempo reale i principali trend di attacco e un aggiornamento in tempo reale sulle criticità informatiche delle aziende colpite. La possibilità, per quanto paradossale, di un leak derivante da un precedente attacco rende evidente che la creazione di policy condivise costituisce un obiettivo non più rinunciabile.

Partendo da questi presupposti, è possibile formulare alcune riflessioni a margine dell’ottimo lavoro svolto dal DG-JRC.

In primo luogo, la piattaforma raccomandata all’esito dello studio potrebbe essere dotata di un sistema di data sharing sugli attacchi avvenuti anche solo a livello nazionale: la possibilità, infatti, di consultare una repository costantemente aggiornata in grado di consentire un’analisi efficace sulle più attuali minacce informatiche agevolerebbe l’adozione tempestiva di adeguati strumenti di difesa soprattutto se tali dati venissero condivisi con le Agenzie Europee competenti in materia (si pensi ad esempio ad un coinvolgimento di ENISA o EUROPOL). Tuttavia, è bene evidenziare che la condivisione di un volume di dati così significativo all’interno della piattaforma si accompagna all’esigenza di adozione di particolari cautele in relazione a tre distinti livelli: il primo è quello di garantire, nel rispetto del principio di data minimization, che non siano condivise informazioni non pertinenti alle finalità di sicurezza per le quali la stessa piattaforma è stata creata. Il secondo è quello di, di rendere omogeneo il modello di segnalazione di data breach (il confronto, ad esempio, del modello francese e di quello italiano attualmente in vigore, evidenzia l’esistenza di significative differenze nel format). È pertanto auspicabile, da un lato, che sia introdotto un modello unico a livello europeo che utilizzi un formato idoneo a garantire un’adeguata interoperabilità; dall’altro, che sia previsto l’obbligo di introdurre, almeno in casi di segnalazione che coinvolgano più giurisdizioni, l’utilizzo obbligatorio della lingua inglese in aggiunta alla lingua ufficiale dello Stato Membro. Il terzo, e forse scontato, livello di cautela attiene al rispetto, nella realizzazione della piattaforma, dei principi della privacy “by design” e “by default” , in forza dei quali il trattamento deve sin dall’inizio essere configurato nel rispetto dei requisiti del nuovo Regolamento e improntato alla tutela dei diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Un ulteriore profilo da considerare è sicuramente quello del rispetto dei principi della digital forensics. Se fosse possibile integrare la segnalazione del data breach con l’invio, ove possibile, di allegati che -nel rispetto delle best practices consolidate a livello internazionale in tema di acquisizione della prova digitale e, ovviamente, della privacy dei titolari del trattamento- fornissero utili elementi circa l’attacco, avremmo aggiunto un ulteriore tassello di fondamentale importanza per studiare e, quindi, prevenire gli attacchi informatici.

Pur non ignorando la difficoltà d’implementazione delle soluzioni ora sinteticamente delineate, si deve rilevare come, a pochi mesi dall’entrata in vigore del Regolamento Privacy, diventi necessario “tenere l’asticella alta”. Solo in questo modo si può sperare di poter sfruttare l’occasione fornita dalla nuova normativa privacy per poter implementare a livello Europeo un efficace sistema di protezione dalle minacce informatiche.

A cura di: Giuseppe Vaciago

Profilo Autore

Giuseppe Vaciago è Avvocato, iscritto all’Ordine degli Avvocati di Milano dal 2002. Le aree di specializzazione sono il diritto penale delle nuove tecnologie e il diritto penale societario. Ha conseguito un PHD in Digital Forensics all’Università degli Studi di Milano Bicocca ed è docente di informatica giuridica presso l’Università degli Studi dell’Insubria dal 2007. Ha frequentato in qualità di Visiting Scholar la Stanford Law School e la Fordham Law School di New York .
Ha partecipato a numerosi convegni presso le più prestigiose Università italiane ed estere. È fellow presso il Nexa Center di Torino e presso il Cybercrime Institute di Colonia. È membro del comitato editoriale della Rivista Digital Investigation edita da Elsevier . È autore di numerose pubblicazioni di carattere universitario tra cui “Computer Crimes” “Digital Forensics” e “Modelli di organizzazione gestione e controllo ai sensi del D .lgs . 231/01”. È membro dell’Organismo di Vigilanza di Procter & Gamble Italy S .p .A ., Whirlpool S .p .A, Duracell, Labocos S.r.l., Team System S.r.l., Gruppo Ospedaliero San Donato.

Condividi sui Social Network:

Articoli simili