Valutare la severità di un data breach è il primo passo da compiere prima di effettuare la notifica della violazione dei dati, un obbligo generale introdotto dal Regolamento UE 679/2016 (“GDPR”).
Secondo la definizione fornita dal GDPR, una violazione è qualsiasi evento che produca, in modo accidentale o illecito, una violazione della confidenzialità, integrità e disponibilità dei dati personali.
La notifica è prevista innanzitutto all’Autorità Garante e, qualora sussista una particolare condizione, anche ai singoli interessati.
Indice degli argomenti
Valutare il rischio prima della notifica
Sebbene la norma non dichiari espressamente la valutazione del rischio come propedeutica alla notifica, è anche vero che senza questa valutazione sarebbe molto difficile per il titolare decidere se procedere o meno alla notifica.
Infatti, la notifica all’Autorità Garante va effettuata sempre, tranne il caso in cui è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.
Se invece il rischio non soltanto è probabile ma anche elevato, la notifica deve essere fatta anche ai singoli interessati.
Come valutare il rischio di una violazione
Il GDPR stabilisce che il rischio di una violazione di sicurezza va stimato con riferimento ai diritti e alle libertà degli interessati. Da questo punto di vista una violazione può produrre differenti tipi di danno alle persone:
- fisici (ad esempio: malattie);
- materiali (ad esempio: perdite di denaro);
- immateriali (ad esempio: perdita di reputazione).
Tuttavia, al titolare del trattamento è stata riconosciuta la più ampia discrezionalità sui criteri con i quali compiere tale valutazione.
L’Enisa – l’agenzia europea per la sicurezza delle informazioni, ha sviluppato un utile strumento di valutazione quantitativa della severità dei data breach.
Il concetto di severità di un data breach è coerente con quello di rischio considerato dal GDPR. Essa, infatti, viene definita come la stima dell’entità potenziale di una violazione dei dati sugli individui.
Nel documento con cui viene illustrata la metodologia di valutazione sono state incluse anche delle utili appendici informative, oltre ad esempi pratici.
Criteri di calcolo della severità del rischio
I criteri proposti per valutare la severità delle conseguenze di una violazione dei dati personali sono:
- il contesto di elaborazione dei dati o DPC;
- la facilità di identificazione o EI;
- le circostanze della violazione o CB.
Il primo fattore – DPC, serve a valutare la criticità dei dati personali all’interno di un contesto di trattamento.
Il fattore EI può essere visto, invece, come un parametro di correzione del primo, mentre l’ultimo (CB) specifica alcune circostanze inerenti la violazione.
La formula proposta per il calcolo della severità del rischio è:
SE = DPC x EI + CB
Il risultato può essere presentato secondo una scala di quattro livelli, come mostrato nella seguente tabella:
| Severità di un data breach | ||
| SE < 2 | Basso | gli individui possono sperimentare piccoli inconvenienti superabili senza alcun problema (ad esempio: tempo occorrente per inserire nuovamente le informazioni, fastidio, irritazione ecc.) |
| 2 ≤ SE < 3 | Medio | gli individui possono incontrare inconvenienti significativi superabili con alcune difficoltà (ad esempio: costi supplementari, indisponibilità di accedere a servizi, paura, mancanza di comprensione, stress, disturbi fisici minori ecc.) |
| 3 ≤ SE < 4 | Alto | gli individui possono incontrare conseguenze significative superabili con gravi difficoltà (ad esempio: appropriazione indebita di fondi, inserimento in black list, danni alla proprietà, perdita del lavoro, chiamata in giudizio, peggioramento dello stato di salute ecc.). |
| 4 ≤ SE | Elevato | gli individui possono incontrare conseguenze significative o irreversibili, che potrebbero non essere in grado di superare (ad esempio: incapacità di lavorare, disturbi psicologici o fisici a lungo termine, morte ecc.). |
Come dare un punteggio ai differenti criteri di valutazione
Ecco quindi alcune semplici linee guida utili a dare un punteggio ai differenti criteri di valutazione visti pocanzi.
Contesto di elaborazione dei dati (DPC)
Occorre innanzitutto individuare il tipo di dati personali violati e poi classificarli in una delle quattro tipologie previste (cfr. Annex 1 del documento):
- comuni;
- comportamentali;
- finanziari;
- sensibili.
La metodologia prevede dei fattori di aggiustamento per ognuna di queste categorie di dati (cfr. Tabella 1 Assessment del documento).
In pratica se un certo fattore di aggiustamento è applicabile, il punteggio attribuito al DPC può essere aumentato o diminuito in modo corrispondente.
Facilità di identificazione (EI)
Questo fattore (cfr. Annex 2 del documento) esprime la facilità con cui chi ha accesso ai dati violati può identificare i soggetti interessati; i valori sono stati distinti in quattro livelli:
- trascurabile;
- limitato;
- significativo;
- massimo.
Circostanze della violazione (CB)
Questo fattore (cfr. Annex 3 del documento) valuta innanzitutto quale caratteristica di sicurezza dei dati è stata compromessa:
- perdita di confidenzialità: l’accesso ai dati personali è effettuato da parte di chi non è autorizzato oppure per una finalità illegittima;
- perdita di integrità: l’informazione originaria è modificata e i dati sostituiti possono essere pregiudizievoli per gli interessati;
- perdita di disponibilità: può essere temporanea o permanente ma accade quando non è possibile accedere ai dati nel caso di necessità.
Un altro elemento da considerare, collegato al concetto stesso di violazione di sicurezza, è se l’evento è dovuto ad un errore, sia umano che tecnico, oppure ad un intento malevolo.
La presenza di un intento malevolo, infatti, aumenta in modo intrinseco la probabilità che i dati violati siano utilizzati in modo pregiudizievole per gli individui.
Conclusioni
La metodologia proposta costituisce una buona base di partenza integrabile all’interno di un report di notifica di un data breach, pur senza vincolare l’utilizzatore in modo rigido.
Infatti, va da sé che i fattori o criteri che concorrono alla valutazione complessiva possano anche essere integrati o ridefiniti in relazione al contesto effettivo in cui saranno utilizzati.
