Mentre la gran parte delle aziende si è attivata nell’adottare tutte le misure tecniche necessarie per scongiurare o minimizzare i rischi di perdita di disponibilità, integrità e violazione dei dati, ben poca attenzione si è dedicata ai data breach da perdita di confidenzialità.
Un data breach, è bene ribadirlo, seppure in forma sintetica e senza entrare nel merito della base giuridica, è una violazione dei dati personali che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati e trattati.
Il tema delle misure tecniche necessarie per scongiurare, o meglio minimizzare i rischi di violazione è già stato ampiamente trattato, mentre la fattispecie della “perdita di confidenzialità” è stata, per alcuni aspetti, trascurata; eppure, in alcuni casi, le conseguenze non sono meno gravi di una perdita di dati a seguito di violazione intenzionale.
Indice degli argomenti
Data breach da perdita di confidenzialità: un esempio pratico
Alla radice di questa fattispecie vi è spesso una lacuna nell’ambiente organizzativo o nelle misure organizzative rivolte ai dipendenti.
Un esempio pratico di “confidentiality breach” è forse più impattante di un elenco di casistiche redatto in forma spersonalizzata. Immaginiamo quindi assieme una possibile situazione di questo tipo.
Siamo nell’ambiente della GDO (la grande distribuzione organizzata). Una catena di supermercati apre una posizione lavorativa per “addetto banco salumeria a tempo indeterminato, categoria protetta”. La modalità di selezione avviene per assessment (previo invio, via mail, di curriculum vitae). Dopo aver analizzato i 3.000 curricula affluiti, l’azienda decide di convocare, in giorni prestabiliti, 1.500 potenziali candidati per un assessment di gruppo.
Il Dr. Rossi, direttore delle risorse umane, dice alla signorina Bianchi di mandare una mail ai candidati prescelti al fine di convocarli nei giorni di martedì e mercoledì della settimana successiva.
La signorina Bianchi, per disattenzione o per mancanza di formazione adeguata, redige una mailing list di questo tipo:
- Campo oggetto: Posizione di Banconiere Reparto Salumi categoria protetta rif: GDO/25
- Corpo testo: Vi informiamo che la selezione per la posizione “addetto banco di salumeria a tempo determinato, categoria protetta” avrà luogo nei giorni xxx vi preghiamo di presentarvi alle ore 9 a questo indirizzo…”
- Destinatari: in copia conoscenza
Appare evidente che un invio di questo tipo è un data breach per la fattispecie di “perdita di confidenzialità”.
Che fare se si verifica una situazione di questo tipo? Il data breach va notificato al Garante?
La notifica al garante per data breach da perdita di confidenzialità
Sì, va notificato, in quanto l’evento coinvolge un notevole numero di individui. La gravità della situazione presa come esempio è amplificata dal fatto che ha conseguenze per gli interessati.
Infatti, nell’esempio si rende noto ad altri individui non solo un dato personale (indirizzo e-mail) ma uno status in cui ci può essere una correlazione a dati particolari (inserzione rivolta ad appartenenti di una categoria protetta). Ricordiamo che i dati “particolari” sono quelli che rivelano l’origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, i dati relativi alla salute e quelli relativi alla vita sessuale (nell’articolo 9 del Regolamento UE 2016/679 sono inclusi anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale).
Di prassi, ogni violazione che coinvolge un numero notevole di individui va notificata al garante. Inoltre, la notifica va fatta anche ai singoli individui se la natura dei dati può avere importanti conseguenze per gli interessati.
Un data breach come quello preso come esempio si sarebbe potuto evitare se la comunicazione fosse stata indirizzata in CCN (copia carbone nascosta, traduzione dell’inglese BCC: blind carbon copy). Previa verifica della bontà della configurazione di Outlook o altri sistemi di posta: in alcune vecchie release e/o in casi di malfunzionamento o errori di configurazione, infatti, basta che anche uno dei destinatari utilizzi la funzione “Rispondi a tutti” per far apparire in chiaro anche i nominativi di tutte le persone in CCN.
Una e-mail è sempre identificativa o identificabile. È identificativa quando composta da nome e cognome o iniziale del nome + cognome ma è comunque identificabile anche se composta da nome di fantasia. La prova? Semplice: basta mettere un’e-mail del tipo nickname_prova@gmail.it (sostituendo eventualmente il dominio del server di posta) in Google: se la mail, per qualche motivo, ha girato nel web sicuramente identificherà anche il proprietario.
Data breach da perdita di confidenzialità: le conseguenze
L’esempio è forse estremizzato, ma si tratta di situazioni che si verificano più frequentemente di quanto si possa immaginare: avremmo potuto prendere l’esempio di un’associazione politica che avverte che i tesserini di iscrizione al partito sono pronti oppure quello di un’università che comunica a un numero imprecisato di iscritti che la loro domanda di esonero o riduzione pagamento retta per categorie disagiate è stata favorevolmente accolta.
L’azienda che commette un data breach è sanzionabile se non ha adottato le misure necessarie per evitarlo. Nel caso preso come esempio diventa difficile stabilire le conseguenze: tuttavia, il Garante non potrebbe fare a meno di chiedere al titolare del trattamento dati se la signorina Bianchi era stata formata sulla normativa privacy e istruita nello svolgimento dei compiti che la sua mansione richiede. La signorina Bianchi può aver agito:
- per disattenzione, pur essendo stata formata ed istruita;
- perché non formata e non istruita nello svolgimento della sua mansione.
Continuando nell’ipotesi, il Garante nel primo caso potrebbe chiedere al titolare di dimostrare che la signorina ha preso parte ad un programma formativo in tema privacy (consiglio per le aziende: stilare un elenco di partecipanti e far firmare loro l’avvenuta partecipazione). Da consulente esterno (fortunatamente per l’azienda, senza essere il Garante) sarebbe il caso di indagare anche sulle condizioni di lavoro della lavoratrice: quando si lavora in condizioni di stress, quando l’azienda richiede mansioni “multitask” assurde e tempi velocissimi nello sbrigare i propri compiti o quando l’ambiente è eccessivamente denso di stimoli che favoriscono la dispersione (telefoni che suonano, disturbi ambientali da rumori umani o da macchinari ecc.), è facile commettere errori ed imprudenze.
Le aziende hanno finalmente preso sul serio le conseguenze di un eventuale data breach: molte si sono, ormai da tempo, premurate adottando le misure tecnologiche necessarie, ma poche hanno fatto un attento esame anche all’ambiente organizzativo, all’analisi dello svolgimento dei compiti degli autorizzati. Quasi nessuna ha implementato una formazione continua periodica da effettuarsi e ripetersi in occasione dell’ingresso di nuovi assunti o di ogni cambiamento di procedure e processi.
Accanto a best practice tecnologiche convive il paradosso di worst practices di procedure e processi organizzativi. Due binari che dovrebbero essere paralleli e percorrere il medesimo percorso sono invece tragitti a sé stanti. Fa senso sapere che alcune aziende dichiarano di essere perfettamente compliant a livello tecnologico, ma magari espongono in bacheca il nominativo dei presenti/assenti tipo “assente per malattia”. Oppure che esistono ancora dipendenti che prendono a prestito password dai colleghi per accedere ad aree riservate o che archiviano documenti cartacei con dati personali e particolari in armadi non dotati di chiavi oppure che non hanno un sistema di gestione chiavi (chi/come/dove/se).
Altro esempio molto comune nella pratica di tutti i giorni: dipendenti che mettono i fogli con dati personali e particolari vicino alla stampante per essere usati come “carta da riciclo”.
Pensare alla privacy significa anche adottare un atteggiamento mentale “privacy by default” a tutto tondo dove nessun particolare può essere tralasciato, dove tutta l’organizzazione deve essere passata al settaggio, possibilmente da esperti, siano essi DPO, consulenti, esperti organizzativi e di privacy, formatori specializzati in privacy e cyber security.
