Cosa hanno in comune l’INPS e il San Raffaele? Due parole, attualmente agli allori della cronaca: hacker e data breach.
Quali sono le differenze? In un caso c’è stata l’attribuzione da parte del titolare del data breach ad un attacco hacker, che gli hacker negano di aver svolto; in un altro degli hacker si sono attribuiti un data breach, che però il titolare nega.
Ora, nel Provvedimento relativo al data breach INPS non c’è menzione di attacchi hacker se non riferendosi all’implementazione di alcune misure di prevenzione da attacchi DoS. Da un tweet di LulzSec Ita, invece, un data breach sembra esserci ma una nota ufficiale dell’Ospedale “San Raffaele” lo smentisce categoricamente.
È curioso notare come entrambe le linee comunicative evidenzino il fatto che “dati sensibili” non sono stati oggetto di violazione. Corre l’obbligo di ricordare, però, che un data breach può riguardare anche dati non rientranti nelle categorie particolari di cui all’art. 9 GDPR. Anzi, è bene precisare che un data breach di dati comuni può comunque esporre gli interessati anche a rischi elevati, rendendoli ad esempio vittime potenziali di attacchi mirati (phishing) o furti di identità.
Ai sensi del GDPR un data breach è infatti una specifica violazione di sicurezza che può compromettere dati personali. Ciò comporta, di conseguenza, che un attacco hacker che coinvolga a qualsivoglia titolo dei dati personali è senz’altro un data breach.
Citare un attacco hacker non può insomma avere valore di scusante ma anzi espone ad un’indagine circa le eventuali vulnerabilità dei sistemi informatici e, in caso di misure inadeguate di protezione, può comportare una potenziale contestazione di violazione del principio di integrità e riservatezza (art. 5.1 lett. f) GDPR). Allo stesso modo, sottovalutare un’intrusione e non registrarla come data breach né notificarla all’Autorità Garante, invece, può comportare una violazione del principio di accountability nella parte in cui riguarda le misure predisposte per la gestione degli eventi di violazione dei dati.
Chiarito ciò, è bene ribadire che in ogni caso sussistono dei precisi obblighi in relazione alla tempestiva rilevazione degli incidenti di sicurezza e la conseguente attività di analisi e reporting, tanto per il titolare quanto per il responsabile del trattamento. Per il titolare del trattamento, consiste nell’effettuare “senza ingiustificato ritardo” la notifica al Garante o la comunicazione agli interessati. In ottica di accountability ciò comporta il dover predisporre misure tecniche e organizzative per essere in grado di stabilire il più presto possibile e con ragionevole certezza il verificarsi della violazione, nonché il rispetto del termine di 72 ore dalla conoscenza dell’evento. Per il responsabile del trattamento, invece, è prescritto l’obbligo di assistenza con il titolare per la gestione degli eventi di data breach, il quale deve essere informato “senza ritardo”.
Insomma: la privacy (come si indica comunemente la normativa in materia di protezione dei dati personali) comporta anche l’adozione di una corretta gestione della sicurezza riguardante i dati personali.
Con buona pace di quanti vorrebbero svilirla ad un mero “vezzo”.
