Privacy: luci e ombre sulla gestione dei data breach. I risultati dello Sweep 2019

(dalla Newsletter 463/2020 del Garante per la protezione dei dati personali)

Sulla gestione dei data breach c’è una conoscenza approfondita, ma limitata a pochi organismi. È quanto emerge da un’indagine internazionale svolta dalle Autorità per la protezione dei dati personali di 16 Paesi, tra cui l’Italia, e coordinata dall’Autorità neozelandese (Office of the Privacy Commissioner).

Considerata la mole di informazioni raccolte e conservate dai soggetti pubblici e privati, è inevitabile che in determinate circostanze si verifichino accessi, comunicazioni o acquisizioni di dati personali in forma non autorizzata. Per questi motivi, sottolinea l’indagine, l’approccio a queste violazioni di dati – in termini sia di segnalazione/notifica sia di adozione di misure atte a prevenire il ripetersi della violazione – riveste importanza fondamentale per le Autorità di protezione dati e per le persone i cui dati sono stati violati.

Lo Sweep (“indagine a tappeto”), che viene annualmente portato avanti dal Gpen (Global Privacy Enforcement Network), ha preso quest’anno in esame le modalità di gestione e reazione in caso di violazioni dei dati nei diversi paesi. Sono stati somministrati questionari a 1145 soggetti, tra pubblici e privati, ma solo il 21% (258) ha fornito risposte puntuali. Tra i motivi ipotizzati dai coordinatori dello Sweep riguardo al limitato numero di soggetti che ha deciso di rispondere alle domande dell’inchiesta, c’è anche il timore che, nei Paesi dove la segnalazione dei data breach è obbligatoria, i Garanti nazionali possano avviare attività di accertamento e sanzione sulla base delle risposte fornite.

Alla luce dei risultati emersi, le singole Autorità dovranno ora valutare quali interventi si rendano necessari per migliorare il controllo degli utenti sui dati personali che li riguardano.

I risultati dello Sweep 2019

Fra i dati positivi emerge che l’84% dei soggetti intervistati nei diversi Paesi hanno designato un’equipe o un gruppo incaricati della gestione delle violazioni di dati nonché della ricezione delle relative segnalazioni.

Nel 75% dei casi le procedure prevedono fasi essenziali quali attività di contenimento, di valutazione e di analisi dei rischi associati. Nel 18% dei casi le risposte fornite in merito a tali procedure sono insufficienti, e ciò segnala la necessità di maggiore chiarezza rispetto alle politiche da seguire in modo da assicurare l’adozione di tutte le misure fondamentali per rispondere a una violazione dei dati.

Il 65% degli organismi dispone di procedure buone o eccellenti in caso di violazione dei dati al fine di prevenire quelle future. Per il rimanente 35% le procedure previste risultano insufficienti o non vengono specificate.

Gli organismi che hanno risposto di non avere politiche interne in caso di violazioni di dati hanno specificato di fare riferimento agli orientamenti forniti dalla competente Autorità di protezione dati, ove necessario. In un caso, l’organismo ha descritto il sistema di valutazione delle violazioni, spiegando di avere implementato un meccanismo di rating a tre colori (rosso, arancio, verde – RAG); il rating tiene conto del numero di dati violati, della sensibilità delle informazioni, del disagio causato, del contenimento o non-contenimento della violazione, della possibilità di recuperare i dati e dell’eventuale applicazione di dispositivi di cifratura.

In 12 dei 16 Paesi che hanno partecipato allo Sweep sono previsti obblighi di notifica delle violazioni di dati. La quasi totalità degli organismi interpellati conosce il quadro giuridico di riferimento, compresi i criteri e le tempistiche per tale notifica. Solo cinque organismi hanno evidenziato una scarsa conoscenza del quadro giuridico. La maggioranza di essi giudica utili le indicazioni fornite dalle rispettive Autorità di protezione dei dati in materia di notifica delle violazioni di dati. La scarsità di risorse ha tuttavia impedito ai soggetti di minori dimensioni di mettere a punto tecniche e procedure sofisticate per la gestione delle violazioni.

Molte strutture fanno registrare dati negativi quanto al monitoraggio della performance interna con riguardo agli standard in materia di protezione dei dati: oltre il 30% non dispone di programmi per l’autovalutazione né per la conduzione di audit interni. Il 45% circa degli organismi che hanno risposto allo Sweep hanno dichiarato di tenere registri aggiornati di tutte le violazioni (anche di quelle potenziali).

Il Gpen

La Rete globale per l’attuazione della privacy (Global Privacy Enforcement Network, Gpen) è nata nel 2010 in seguito a raccomandazioni dell’Ocse. La rete, che ha natura informale e comprende oltre 60 Autorità di 39 paesi, mira a promuovere la cooperazione internazionale fra le Autorità per la privacy in un contesto sempre più globale, ove consumatori e imprese necessitano di un flusso costante di informazioni personali a prescindere dalle frontiere nazionali.