Tutti i servizi di Google sembrano aver subito un arresto improvviso, con migliaia di segnalazioni dei malfunzionamenti da tutto il mondo e il serpeggiare fra i social del relativo hashtag #googledown.
Ma questa interruzione di funzionamento è un data breach?
O per meglio dire: le organizzazioni che si avvalgono di servizi Google per trattare dati personali (e dunque, ad esempio, dai servizi di gestione cloud a quelli di gestione della posta) devono affrontare questo evento come un data breach?
Guardando alle definizioni, la violazione dei dati personali è un tipo specifico di incidente di sicurezza, ovverosia “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;” (art. 4.1 n. 12 GDPR). Da quanto accaduto e noto, la violazione potenzialmente configurabile riguarderebbe il solo aspetto di disponibilità dei dati in quanto non risultano temporaneamente accessibili. Qui soccorrono le linee guida WP250 dell’EDPB, secondo le quali è realizzata una violazione della disponibilità “in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.” anche di carattere temporaneo, “in quanto la mancanza di accesso ai dati può avere un impatto significativo sui diritti e sulle libertà delle persone fisiche.”.
Se all’esito di una valutazione della probabilità e gravità di impatto dell’indisponibilità (pur temporanea) dei dati personali su diritti e libertà delle persone fisiche si realizza un rischio probabile, l’organizzazione sarà tenuta a svolgere una notifica all’autorità di controllo ai sensi dell’art. 33 GDPR e valutare anche la sussistenza di parametri di rischio elevato per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34 GDPR.
La sussistenza del rischio va riferita al contesto entro cui è realizzata la violazione, ed essere valutata esclusivamente per la sua idoneità a produrre un danno nei confronti dei diritti e delle libertà delle persone fisiche. Aver predisposto le misure di cui all’art. 32.1 lett. c) GDPR relative alla “capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;”, ha ovviamente l’effetto di contenere l’impatto della perdita di disponibilità.
Qualora l’interruzione di servizio sia temporanea e inidonea a realizzare un rischio probabile nei confronti delle persone fisiche, è bene ricordare che l’incidente, pur non soggetto ad obblighi di notifica, deve comunque essere soggetto a registrazione interna conformemente alle prescrizioni dell’art. 33.5 GDPR.
Quando l’incidente coinvolge servizi esterni all’organizzazione (come nel caso dei servizi Google), è quanto mai necessario documentare l’accaduto dal momento che il fornitore esterno potrebbe fornire solo successivamente informazioni e dettagli che potrebbero far rivalutare l’incidente occorso comportando la necessità di notificare un data breach. Ad esempio, riportando che c’è stata anche una compromissione di riservatezza. In tal senso diventa cruciale poter dimostrare le motivazioni che hanno portato prima alla decisione di non effettuare la notifica e poi a effettuarla entro 72 ore non dall’evento ma dal momento in cui l’organizzazione è venuta a conoscenza della violazione.
