cybersecurity week
(iStock)
cybersecurity week
Cyber Security

Data breach sì o data breach no?

La Rubrica - Cybersecurity Week

Il caso Sogei della scorsa settimana che ha visto l’indisponibilità provvisoria a causa di un guasto di dati e sistemi dell’Agenzia delle Entrate e di quelli delle Dogane e Monopoli, del portale del Dipartimento delle Finanze del Mef, solo per citarne alcuni, offre lo spunto per affrontare un tema di data protection. Nell’immaginario collettivo un “data breach”, ovvero una violazione dei dati personali, si verifica quando tali informazioni vengono divulgate in maniera incontrollata, di solito in modo deliberato. Gli attacchi cyber che portano alla pubblicazione e diffusione di informazione, come quello che nel 2021 colpirono la SIAE e il Gruppo San Carlo, sono pacificamente percepiti come tali. In realtà come sanno tutti o quasi i professionisti del settore il Regolamento Europeo in materia offre una definizione molto più estensiva, che si comprende facilmente anche soltanto leggendo la definizione data dalla norma: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. In primo luogo si nota come non è rilevante il fatto che la violazione si sia verificata per un atto deliberato oppure per semplice casualità. Di conseguenza quanto accaduto a Sogei potrebbe essere considerato un “data breach”. Vediamo ora cosa deve accadere, stante la norma, per confermare questa valutazione. Nello specifico i dati, sulla base di quanto noto, non sono andati distrutti, persi, modificati, divulgati in modo non autorizzato e non vi è stato accesso illecito. Questo perché si è trattato di una indisponibilità provvisoria. Una lettura pedissequa della legge porterebbe, ora, a pensare che non siamo in presenza di una violazione. Tuttavia se andiamo a leggere sul sito della nostra Autorità competente in materia vediamo che tra gli esempi sul tema si legge che deve essere considerato un “data breach” anche l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc. L’interpretazione di quanto recita la norma diventa così più estensiva, ma se leggiamo con attenzione ci rimane ancora un dubbio. Quando si parla di “impossibilità di accedere” non viene specificata una scala temporale. Può bastare un’ora? Forse un giorno? O invece deve essere su base permanente? La capacità di identificare se siamo in presenza di una violazione non è secondaria perché implica l’eventuale obbligo di notifica all’Autorità Garante. Quindi cosa si deve fare in un caso di questo tipo? Da sempre sostengo che il Regolamento Europeo è una norma di rara difficoltà perché richiede a chi tratta i dati personali uno sforzo costante di calare nella realtà quelli che sono i suoi principi. Per rispondere alla domanda ritengo si debba tornare al primo articolo della legge laddove è scritto: Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. Si tratta, quindi, di rispondere alla domanda se la violazione dei dati ha violato un diritto o una libertà degli interessati e in caso positivo quali sono le conseguenze che ha determinato. Detto questo sarebbe utile se, soprattutto i professionisti, evitassero di esprimere giudizi “frettolosi”.

I più letti