NEWS

L’audit mirato “à rebours” come misura per ridurre il rischio sanzionatorio post data breach

L’art. 83 del GDPR disciplina il regime sanzionatorio applicabile alle violazioni del GDPR, prevedendo sanzioni amministrative e pecuniarie. Tuttavia, lo stesso articolo contempla una serie di circostanze attenuanti che il titolare del trattamento può azionare per ridurre significativamente l’entità della sanzione.

Tra queste, l’art. 83, par. 2, lett. c) indica espressamente “le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati” e la lett. d) aggiunge il “grado di responsabilità del titolare del trattamento”.

Il collegamento con il principio di responsabilizzazione (accountability) di cui all’art. 5, par. 2 GDPR è diretto. Il titolare non solo deve garantire il rispetto dei principi in materia di protezione dei dati, ma deve anche essere “in grado di comprovarlo”. In questo articolo si vuole comprendere come l’audit “à rebours” è uno strumento concreto per dimostrare all’Autorità la presa in carico della violazione e la volontà di rimediare ai danni causati, oltre che eliminare alla causa che li ha originati.

Il data breach – Come noto agli addetti ai lavori, il data breach è una “una violazione di sicurezza … che comporta ….la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali … trattati”. Quando si verifica un simile evento, il titolare è tenuto a valutare o meno la necessità della notifica. Tuttavia, notificare non è sufficiente. Il Garante, nell’ambito della propria valutazione sanzionatoria ai sensi dell’art. 83, GDPR, considererà anche la qualità e la prontezza delle azioni di trattamento per risolvere il problema e delle correttive intraprese per eliminarne la/le cause. In questo senso, l’audit mirato diventa uno strumento bi-funzionale: da un lato serve a identificare le cause radice del breach e a prevenirne la ripetizione; dall’altro costituisce evidenza documentale dell’impegno del titolare nel mitigare i danni.

L’audit “à rebours” – Questo tipo di audit retrospettivo viene condotto post evento per risalire a ritroso alla catena causale che ha determinato il breach. Si allinea alla logica dell’art. 35 del GDPR sulla valutazione d’impatto: individua quali misure di sicurezza hanno fallito, in quale fase del trattamento e come si è originata la vulnerabilità. I suoi output sono fondamentali per individuare le cause all’origine del problema e provi rimedio; completano la documentazione da fornire al Garante in caso di ispezione.

Esempio - Per fare un esempio pratico, immaginiamo che un ente che effettua test genetici predittivi, scopra che i referti cartacei di circa il 4% degli utenti sono irreperibili. I documenti contenevano dati genetici e informazioni diagnostiche. Non è possibile stabilire con certezza la data della sottrazione. Si sospetta un furto su commissione perpetrato da personale interno o di soggetti autorizzati, in assenza di effrazioni fisiche. Si procede, anche su mandato del DPO, ad effettuare un audit “à rebours” per ricostruire la catena degli eventi, svolgendo le seguenti attività:

- mappatura dei soggetti in possesso di credenziali biometriche per l’accesso all’archivio (personale interno, fornitori di manutenzione, figure esterne);
- analisi dei log di accesso digitale per il periodo sospetto, con correlazione degli accessi ai turni lavorativi e alle mansioni dei dipendenti;
- verifica degli interventi di manutenzione sui sistemi di accesso (data, motivazione, operatore), al fine di escludere manomissioni dei dispositivi di controllo;
- ricostruzione della catena di custodia dei documenti dalla fase di produzione all’archiviazione, per identificare le lacune procedurali che hanno reso possibile la sottrazione.

Trattandosi di dati genetici (art. 9 GDPR), la violazione ricade nella fascia sanzionatoria massima dell’art. 83, par. 5.. L’audit “à rebours” è in questo caso indispensabile non solo come strumento difensivo sul piano sanzionatorio, ma anche come azione necessaria per adempiere all’obbligo di comunicazione agli interessati ai sensi dell’art. 34 GDPR, potendo circoscrivere con precisione la platea degli interessati coinvolti. I risultati dell’indagine permetteranno di individuare le cause all’origine del problema e procedure alla loro eliminazione.

Un successivo audit mirato permetterà di valutare l’efficacia delle misure poste in atto.

(Nella foto: l'Ing. Monica Perego, docente del Webinar sull'audit in materia di protezione dei dati organizzato da Federprivacy)

Collegamento sistematico con l’art. 83 GDPR - L’audit mirato post data breach, se correttamente documentato, può concorrere ad attivare le seguenti attenuanti previste dall’art. 83, par. 2 GDPR:

- lett. b) — “Carattere doloso o colposo della violazione”: l’audit può dimostrare che il breach è avvenuto nonostante l’adozione di adeguate misure preventive, inquadrando l’evento come colposo e non doloso.
- lett. c) — “Misure adottate per attenuare il danno subito dagli interessati”: l’audit evidenzia le azioni correttive immediate e strutturali intraprese dopo il breach.
- lett. d) — “Grado di responsabilità del titolare”: la tempestività e la qualità dell’audit dimostrano un livello di diligenza elevato nella gestione dell’incidente;
- lett. f) — “Grado di cooperazione con l’autorità di controllo”: la produzione spontanea dei risultati dell’audit al Garante in fase istruttoria è interpretata come fattore di cooperazione attiva.

Conclusioni - L’audit mirato post data breach non è un adempimento formale, ma uno strumento disponibile nel dialogo con il Garante. La sua efficacia sul piano del rischio sanzionatorio dipende: dalla qualità della documentazione prodotta, dalla tempestività di avvio e dalla concretezza delle misure correttive che ne discendono. Un’organizzazione in grado di dimostrare, attraverso tale strumento, di aver identificato le cause del breach, circoscritto i danni, messo in atto misure immediate e adottato azioni preventive efficaci, si posiziona favorevolmente rispetto alla griglia valutativa prevista dall’art. 83 del GDPR.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Per le banche la compliance al GDPR non basta più: servono privacy e fiducia del cliente
Next Dall'European Data Protection Board un modello di valutazione d'impatto per semplificare la compliance e rafforzare la coerenza

Ansa: presentato alla Camera il libro 'Smetti di farti spiare difendi la tua privacy'

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy