Rapporti di lavoro

Fuga di dati dallo studio: la prima mossa del professionista è pesare i rischi

a cura di Matteo Flora, Marco Giacomello, Giuseppe Vaciago

Nel 2020 sono stati registrati 2.332 attacchi di pirateria informatica a fronte dei 1.802 rilevati nel 2019. I dati sono stati illustrati nel corso del convegno “L’hacker nel faldone”, organizzato dal Consiglio dell’Ordine degli avvocati di Roma, che è stato vittima nel 2019 di un attacco hacker agli account di posta elettronica certificata di 30mila avvocati. Questi numeri permettono di comprendere quanto sia importante per il professionista proteggere adeguatamente i suoi dati e conoscere gli adempimenti previsti dal Gdpr, il regolamento europeo 679/2016 sulla privacy.

Le linee guida sul data breach emanate a inizio anno dal board dei Garanti europei della privacy (Edpb) - sulle quali si è recentemente concluso il processo di consultazione pubblica - forniscono chiaramente i casi in cui è necessario procedere, in caso di violazione o perdita dei dati personali, alla notifica all’Autorità della privacy. Lo fanno attraverso l’evidenziazione di 18 scenari di data breach, alcuni dei quali riconducibili esclusivamente a un comportamento umano.

L’uomo e la macchina

Si pensi, ad esempio, all’invio per errore di una mail contenente informazioni estremamente riservate di un cliente a uno o più destinatari non autorizzati a riceverla o al dipendente infedele che utilizza una lista clienti del suo precedente datore di lavoro per ottenere dei benefici nel nuovo impiego. Altri scenari sono invece propriamente tecnologici, come ad esempio il caso dei cryptolocker con cui i cybercriminali cifrano i dati della vittima e chiedono un riscatto per rivelare la password di cifratura.

Quali sono le conseguenze di un data breach in uno studio professionale? Oltre al danno materiale – plurime sono le storie di studi che hanno dovuto chiudere a seguito della completa cifratura di dati e backup – abbiamo sicuramente la perdita di fiducia e il danno reputazionale. Pertanto, è assolutamente importante comprendere se e come notificare la violazione di dati al Garante.

L’analisi del rischio

Al netto dei 18 scenari presentati dall’Edpb, ogni caso ha una sua storia e deve essere valutato singolarmente: per farlo è necessario adottare un metodo di analisi del rischio. Uno dei migliori è fornito da Enisa (European network and information security agency), che chiede di considerare tre parametri durante la valutazione dell’impatto di una violazione di dati personali: il contesto del trattamento dei dati, che tiene conto della natura dei dati oggetto della violazione; la facilità di identificazione, che stima quanto sia facile identificare i soggetti interessati a partire dai dati oggetto della violazione; le circostanze specifiche della violazione. Al termine di tale percorso (severity assessment) sarà possibile determinare il tipo di gravità del data breach e valutare – oltre che dimostrare - se effettuare la notifica e la comunicazione agli interessati.

La notifica al Garante

Nell’ipotesi in cui la valutazione del rischio presenti la necessità della notifica al Garante, è importante chiarire alcuni aspetti pratici operativi. Il primo e decisamente più importante è quello della compilazione del modello di notifica presente sul sito dell’Autorità della privacy in formato Pdf modificabile. Le domande poste dal Garante nel modello sono 29 e si possono dividere in tre grandi categorie: descrizione e possibili conseguenze della violazione, misure adottate a seguito del data breach e comunicazione all’interessato.

Per quanto attiene la descrizione della violazione, è importante chiarire che se non è possibile reperire le informazioni sufficienti a rispondere ai quesiti posti al Garante nelle 72 ore previste dal Gdpr, è possibile effettuare una notifica preliminare e riservarsi un’integrazione in un momento successivo. Inoltre, il termine di 72 ore decorre dal momento in cui il titolare viene a conoscenza del data breach, termine che non va confuso con il momento in cui si è verificato l’evento: molto spesso capita, infatti, che la violazione di dati avvenga molto tempo prima rispetto a quando se ne ha effettiva conoscenza.

Inoltre, un aspetto decisamente importante è il “piano rimediale” all’interno del quale si devono fornire e indicare le misure di sicurezza adottate a seguito dell’incidente e quelle che si vorranno adottare in un prossimo futuro. E se nel caso di un errore umano è evidente che l’investimento dovrà vertere sulla formazione - che sarebbe buona norma attivare anche in modo preventivo per poter a posteriori dimostrare che molto si è fatto - nel caso di un cyber attacco sarà necessario potenziare la sicurezza informatica del proprio studio professionale.

Un ultimo aspetto da considerare è la comunicazione agli interessati, ossia clienti o dipendenti, che rappresenta forse la sfida più complessa da gestire (si veda l’articolo a fianco).

Leggi le attività da svolgere in caso di data

Per saperne di piùRiproduzione riservata ©

Gli ultimi contenuti di Rapporti di lavoro