Gestione della violazione di dati personali

Come sappiamo, il GDPR introduce specifici obblighi, per tutti i Titolari del Trattamento di Dati Personali, inerenti una eventuale violazione dei dati personali (definita anche data breach).

Cosa è una violazione dei dati personali?
Per «violazione dei dati personali» si intende ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Essa può interessare trattamenti di dati personali effettuati con supporti cartacei oppure con strumenti informatici; ovviamente tale secondo aspetto presenta un maggiore indice di probabilità. Si tenga inoltre conto che non dobbiamo pensare a SE, ma a QUANDO esso avverrà, ed essere pronti a gestirlo.

All’art. 33 del GDPR è prescritto di “comunicare alla Autorità di Controllo, entro 72 ore dal momento che se ne è avuta conoscenza, la violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Art. 34 “Qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Voglio sottolineare che, qualora il data breach accada presso un Responsabile del Trattamento esterno (es. lo studio commerciale o il centro paghe), esso deve immediatamente informare i Titolari dei Trattamenti interessati, in quanto spetta ad essi mettere in atto le misure dapprima indicate.

Qualora un data breach interessi sistemi informativi, segnalo come sia importante gestirlo con l’ausilio di persone estremamente esperte e competenti; infatti quasi sempre tali eventi sono correlati ad attività penalmente rilevanti (es. artt. 615 ter, quater e quinquies, codice penale).

Occorre quindi intervenire non solo per chiudere la breccia, ma (prima) anche con le opportune attività di informatica forense.

Quindi consiglio alle organizzazioni di definire un dettagliato piano di gestione del data breach, per evitare di doverlo fare (magari in preda al panico) nelle poche ore a disposizione.

Comunicazione del DPO-RPD al Garante

Segnalo, a coloro che ne hanno l’obbligo, che il Garante ha predisposto la procedura on-line per segnalare la nomina ed i riferimenti dei DPO incaricati dalle varie organizzazioni.

Consiglio di comunicare, nei dati di contatto del DPO, un indirizzo pec invece della “normale” posta elettronica.

Aggiornamento: la procedura richiede (verificato oggi 19 maggio da un cliente) anche l’indirizzo e-mail classico.

La procedura è composta da due fasi; la prima riguarda l’inserimento dei dati del Titolare del trattamento e del DPO nominato; in seguito, il Titolare riceverà una e-mail con un allegato xml, da firmare digitalmente e restituire al Garante.

Aggiornamento 2: dopo un paio di giorni, il Garante invia la notifica della avvenuta designazione, al D.P.O. tramite posta elettronica.

Alle aziende che mi hanno nominato, ho già inviato tutti i miei dati di contatto da inserire nella procedura telematica.

GDPR e amministratore di sistema

Domanda ricorrente: con l’entrata in vigore del GDPR, la normativa relativa agli amministratori di sistema rimarrà valida, verrà disapplicata o diventerà inutile?

In primo luogo, il nuovo regolamento europeo 2016/679 non disapplica i provvedimenti e gli altri interventi regolatori emanati dalla nostra Autorità di Controllo (Garante Privacy), se compatibili e non in conflitto con le nuove regole.

In secondo luogo, la filosofia alla base del GDPR (es. valutazione del rischio e responsabilizzazione) intende attribuire l’onere di valutazione delle strategie di controllo e l’adozione delle misure di prevenzione in capo al Titolare del Trattamento.

Quale Titolare potra quindi decidere di considerare inutile il provvedimento sugli amministratori di sistema, che determina un sistema di controllo e prevenzione di attività illecite delle persone che hanno il maggior potere sugli assets I.T. aziendali?
A mio parere, il provvedimento, fintanto che non verrà riproposto o rivisto in ottica GDPR (nel quale la figura dell’IT-admin è la grande assente) rimane una misura necessaria.

Quali sono gli oneri relativi al provvedimento del Garante sugli IT-admin?

Gli obblighi attuali sono i seguenti:

  • l´attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza;
  • il Titolare del Trattamento deve designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti, in base al profilo di autorizzazione assegnato;
  • il Titolare del Trattamento è tenuto a indicare in un documento interno gli estremi identificativi delle persone fisiche designate quali amministratori di sistema, con l’elenco delle funzioni ad esse attribuite; il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall’outsourcer);
  • il Titolare del Trattamento deve adottare idonei sistemi di registrazione degli accessi logici, compiuti dagli amministratori, ai sistemi di elaborazione ed alle operazioni compiute sugli archivi e files; tali dati (access-log e operation-log) devono essere registrati e conservati per almeno sei mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto;
  • qualora gli amministratori, nell’espletamento delle proprie mansioni, accedano ai dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti; in tal caso, è fatto onere al Titolare del Trattamento di rendere noto ai lavoratori dipendenti questo loro diritto;
  • l’operato degli amministratori di sistema deve essere oggetto di verifica, con cadenza almeno annuale, per verificare che le attività svolte dall’amministratore siano effettivamente conformi alle mansioni attribuite; questo aspetto, che viene “sistematicamente dimenticato”, alla nuova luce del GDPR è quello più determinante in ottica “accountability”.

Ma i sistemi operativi server già producono i log delle operazioni, quindi non siamo già a posto?

Assolutamente NO; occorre dapprima valutare se il dettaglio dei log generato di default sia sufficiente a registrare tutte le operazioni compiute dagli amministratori sul server (quasi sempre non lo è); inoltre i file di log debbono essere raccolti in un sistema centralizzato, fuori dalla portata degli amministratori (lo potrebbero manomettere), il quale deve garantire l’integrità ed inalterabilità dei log raccolti.

Anche in questo caso, se dovete realizzare (o migliorare) una architettura informatica compliant al provvedimento sugli amministratori di sistema, abbiamo competenza ed esperienze per assistervi nella sua definizione, controllo delle corrette funzionalità e verifica annuale dei log e del corretto funzionamento del dispositivo; una soluzione che raccoglie le operazioni in maniera conforme al provvedimento del Garante è IPsent.

UPDATE: questo post risulta tra i più visitati (ed anche ripreso da altri); ho ricevuto moltissime richieste, a seguito delle quali ho pubblicato un’altra precisazione sull’argomento.