Come prepararsi ad un Data Breach
Partiamo da una certezza: prima o poi una perdita di dati si verificherà: è inevitabile e deve essere messo in conto e, a quel punto per ogni azienda o professionista lo scenario non è certo dei migliori, specialmente se non è stata prevista una procedura di intervento.
Il data breach non è un’attività che termina con il recupero dei dati, magari dopo aver pagato un riscatto in bitcoin, ma qualcosa di più complesso di cui è bene essere consapevoli ad iniziare dal fatto che si verificherà.
Non sto parlando solo di un attacco hacker che viene portato a buon fine, ma di altre possibili forme di perdita di dati che possono accadere: dalla perdita di un cellulare o di una pen drive o un dipendente che lascia in autogrill il tablet; dal virus che ci fa scomparire una parte della memoria nell’hard disk al ransomware.
Adesso però che avete fatto i datti i debiti scongiuri e le macumbe del caso andiamo a rivedere se al momento in cui vi siete adeguati al GDPR (perché vi siete adeguati, vero?) avete anche individuato le procedure da attivare nel caso in cui la vostra segretaria, magari distratta dal social, ha scaricato la mail che ha consegnato il databese dei vostri clienti ad un ricattatore al quale, con l’appoggio della polizia postale, avete deciso di non pagare il riscatto.
Adesso oltre a prendervela con la segretaria e ringraziare il backup dei dati (perché avete un sistema di backup, vero?) dovete semplicemente informare il Garante dell’accaduto e tutti i vostri contatti che da questo scivolone potrebbero subire qualche danno o pregiudizio. Certo, una misura del genere dovrebbe essere stata prevista al momento della definizione della privacy policy, perché siete consapevoli che il Garante deve essere avvertito senza indugio e comunque non oltre settantadue ore dall’evento; e sapete anche che non è consigliato scrivere del data breach sul vostro sito aziendale di quanto accaduto.
Prescindendo dall’autogol che sarebbe in termini di danno di immagine il Garante ha detto che non è sufficiente limitarsi a dire online che avete avuto un piccolo problema di perdita dati ma che i vostri clienti non corrono rischi; devono solo cambiare la password di accesso.
Non funziona così: è necessario ai sensi del Regolamento informare le persone i cui dati sono stati esposti a un possibile rischio, di che cosa effettivamente possa loro accadere adesso che i loro dati anche solo di contatto possono essere finiti in mano ad una delle disgrazie peggiori di quest’epoca: un call center che ha poco rispetto per la privacy delle persone e preferisce chiamarle a casa dopo le otto di sera perché “almeno siamo sicuri di trovare qualcuno a cui sottoporre le nostre offerte e sconti speciali!”
Se avete predisposto un sistema di gestione privacy adeguato alla vostra struttura e alla tipologia di dati che dovete trattare è possibile che il Garante limiti le sue decisioni ad una sanzione leggera quali una censura o un avvertimento: l’equivalente di un cartellino giallo che offre una seconda opportunità.
Ma se venisse rilevato che non avete posto in essere quantomeno le misure minimali di protezione o intervento, le conseguenze potrebbero andare da una sanzione ad almeno quattro zeri che, per un’impresa anche di medie dimensioni, non sono proprio noccioline.
Qualcuno potrebbe pensare che in caso di data breach sia meglio quindi far finta di niente e che il Garante non se ne accorge di sicuro. Il problema è che potrebbe “fare la spia” uno dei vostri clienti che, magari, ha scoperto i suoi dati on line. A quel punto dovrete fare i conti anche con l’omessa denuncia. La protezione dati non è solo una questione di antivirus, ma anche di atti, documenti, informative, lettere di incarico e procedure. Non è meglio parlarne prima?
Avv. Gianni Dell’Aiuto