Game of databreach(es) - Atto Terzo: Take on DPS

Data breach: Take on DPS.

Spesso una piccola o piccolissima realtà con bassa complessità delle attività di trattamento ha le seguenti caratteristiche: raramente si hanno procedure interne, i trattamenti sono svolti da un ufficio di poche persone, la fornitura dei servizi IT è affidata in outsourcing, non sono presenti sistemi di controllo degli accessi. Insomma: si è certamente ben al di fuori delle ipotesi di DPIA.

Può sembrare che queste piccole realtà possano trovare più difficoltà nel raggiungere una conformità relativa alla corretta gestione degli eventi di data breach. Soprattutto c'è una diffusa resistenza mentale ad accettare gli obblighi del GDPR, preferendo il canto delle sirene di chi predica esenzioni. Nel caso dell'obbligo di notifica, sembra che il motivo sia una pretesa e aprioristica valutazione di insussistenza di un rischio significativo per gli interessati in ragione della dimensione contenuta dell'attività.

Questo è un errore sotto varie prospettive.
Prima di tutto: il rischio va valutato su diritti e libertà degli interessati, prescindendo dalla dimensione di business che può aver rilevanza però, ad esempio, nella valutazione di adeguatezza delle misure di sicurezza.

Dopodiché, si consideri anche che una piccola organizzazione difficilmente ha dei remediation plan efficaci per contenere il danno generato, e dunque ancor più dovrebbe avere un obbligo di notifica e/o comunicazione nei confronti degli interessati.

Ulteriormente, non bisogna dimenticare che è data breach anche una violazione di dati personali tenuti in formato non digitale, e dunque per realizzarsi non necessita del presupposto di un'infrastruttura informatica particolarmente complessa.

Per il consulente, partire dalla piccola, o piccolissima realtà, è un utile modello di esercizio per la ricerca di quei comuni denominatori che poi possono essere declinati (e strutturati) anche in organizzazioni complesse.

Per la piccola, o piccolissima realtà, è utile invece affidarsi ad un consulente che possa fornire un servizio di advisoring esterno, dal momento che, in ragione della dimensione limitata di attività, non è configurabile né la designazione di un Data Protection Officer né di un designato interno che assuma il ruolo di Privacy Manager. 

Piuttosto è preferibile affidarsi ad un Data Protection Specialist che coniughi conoscenze legali e capacità tecniche e che sia in grado di fornire assistenza anche nella gestione di un data breach nelle fasi relative a:

• analisi dell'incidente;
• compilazione dell'eventuale notifica e comunicazione agli interessati;
• pianificazione e predisposizione degli interventi correttivi;
• verifiche periodiche di sicurezza.

Essere GDPReady è (a volte)... affidarsi ad un DPS per i data breach.

Chiarimento del Garante su trattamenti da sottoporre a DPIA

Attraverso un chiarimento il Garante ha indicato come i trattamenti dei nn. 6, 11 e 12 dell'Elenco dei trattamenti da sottoporre a valutazione d'impatto, ovverosia:

• Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo)
• Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
• Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

vadano riferiti, perché vi sia l'obbligo di cui all'art. 35.4 GDPR, anche all'ulteriore criterio di rischio elevato della "larga scala" (già indicato dal fu art. 29WP, ora EDPB).

Big trouble in Little EU: GDPR - Accountability

"I consigli del vecchio Pork-Chop Express sono preziosi, specialmente nelle serate buie e tempestose..." (Jack Burton, DPO autocertificato)

Parliamo un po' di un Incantesimo chiamato accountability, nella sua Versione Oscura in cui diventa una safe word invocata nei più disparati ambiti.

Parola Oscura, quasi iniziatica, consente ai migliori stregoni di eludere l'assalto di domande scomode (il più delle volte quando si vestono i panni di relatore), confezionare risposte valide per ogni situazione (il più delle volte quando si vestono i panni di consulente), proclamare contenuti d'impatto senza mai dire nulla di concreto (ricorrendo a una Triade di agenti: Could, Should e Would), aumentare la propria forza persuasiva.

Inoltre, tali formule sono arricchite da:

• genericità e vaghezza argomentativa;
• nessun riferimento al contesto;
• utilizzo pressoché esclusivo del modo condizionale e astensione dal modo indicativo;
• riferimenti acritici e tramite elencazione o Ctrl+C e Ctrl+V a norme e indicazioni abilmente "censite e prelevate" spesso nell'arco di tempo di qualche manciata di secondi.

L'accountability, al di fuori del suo impiego oscuro, è fuori di dubbio il cardine portante del "sistema GDPR", ma la sua perversione rischia di alimentare una deriva formalistica e ben lontana dagli intenti di protezione sostanziale (e quindi: concretezza ed effettività) dei diritti e delle libertà degli interessati e libera circolazione dei dati personali (e quindi: regolamentazione priva di oneri eccessivamente irragionevoli) perseguiti dal Regolamento.

Essere GDPReady è...evitare di utilizzare l'accountability come safe word.

Game of databreach(es) - Atto Secondo: Data handlers don't cry.

Data breach: Data handlers don't cry.

Come agire e reagire in caso di data breach? Forse è meglio pre-agire. E coinvolgere gli operatori/data handlers.

Ad esempio: approntare una procedura operativa è particolarmente utile. Approntarla bene, poi, è un elemento necessario per il rispetto degli obblighi di cui all'art. 33 (notifica all'Autorità di controllo) e 34 (comunicazione agli interessati) GDPR.

Destinatari di tale procedura sono i soggetti coinvolti dall'evento di violazione dei dati: tutti coloro che agiscono sotto l'autorità del Titolare e che dallo stesso sono (anzi: devono essere) di conseguenza autorizzati all'accesso ai dati da trattare nonché istruiti ai sensi dell'art. 29 GDPR.

Obiettivo della procedura, dal punto di vista della conformità agli artt. 33 e 34 GDPR, dovrà essere la produzione di un report minimo dell'incidente entro le 72 ore successive.

La maggior parte delle violazioni sono rilevate o dagli operatori o dal personale tecnico (es. CED aziendale o Responsabile IT). Entrambi tali categorie di soggetti andrebbero compiutamente istruiti sulle modalità di gestione dell'incidente informatico, ma avendo cura di distinguere:

• le differenti competenze/conoscenze tecniche dei destinatari delle istruzioni;
• i differenti ambiti di intervento e di autonomia nella gestione immediata dell'incidente da consentire;

per definire il flusso informativo e le azioni da svolgere (che fra l'altro, possono contenere il danno e dunque avere ricadute sulla sicurezza dei trattamenti).

Dal momento che la responsabilità (dis)organizzativa ricade comunque sul titolare del trattamento, il data handler non può essere reso vittima di istruzioni contraddittorie o incomprensibili. Per tale motivo è consigliabile un riesame periodico di tali istruzioni operative al fine di migliorarne l'efficacia (consentendo il raggiungimento dell'obiettivo di reportistica) o l'efficienza (disperdendo meno risorse: prima fra tutte, il tempo), coinvolgendo anche, nei limiti del possibile e tenuto conto del contesto, gli stessi operatori.

Essere GDPReady è...una procedura per gestire il data breach.

Quel...Diavolo di consenso (parte 7)

Parte 7: Consenso e professionisti della sanità

Un professionista della sanità spesso si trova di fronte ad un dilemma: il consenso/autorizzazione può fondare la liceità delle attività di trattamento di dati personali relative alla prestazione sanitaria?

Ebbene: il diavolo qui non giace assiso su dettagli bensì su una base giuridica, sul contesto e sul piano operativo.

"Eh bien, docteur, que me veux-tu?

Voyons, parle! Te fais- je peur?"

( Faust - Gounod )

Nell'ambito sanitario, il consenso può generare confusione per l’interessato dal momento che lo induce a ritenere di poter "disporre" di un maggiore potere di controllo sui propri dati personali mediante l'esercizio di un potere di revoca. A nulla vale garantire tale base giuridica, per amor di formalismo, se poi l'attività di trattamento può prescindere dalla revoca del consenso precedentemente prestato.

La base giuridica per garantire la liceità delle attività di trattamento dei dati personali svolte da un professionista della sanità è, nella maggior parte dei casi, individuabile nell’art. 9.2 lett. h) GDPR:

«il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;».

Perché tale fondamento di liceità sia valido, ad ogni modo, occorre però che siano rispettati anche i requisiti indicati dall’art. 9.3 GDPR:

«I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.»

Definito così chi può avvalersi di tale base giuridica, è bene tenere conto anche delle modalità operative rimesse dall'art. 9.4 GDPR alla potestà legislativa degli Stati membri per i trattamenti di dati genetici, biometrici o relativi alla salute. Per l'effetto di tale deroga, sono inseribili difatti ulteriori condizioni e limitazioni (quali ad esempio le prescrizioni contenute nelle Autorizzazioni Generali o  le regole deontologiche).

L’art. 75 del Codice ha recepito il binomio garanzia-deroga del GDPR nel modo che segue:

«Il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell'interessato o di terzi o della collettività deve essere effettuato ai sensi dell'articolo 9, paragrafi 2, lettere h) ed i), e 3 del regolamento, dell'articolo 2 septies del presente codice, nonché nel rispetto delle specifiche disposizioni di settore.»

L'art. 2-septies del Codice ha delegato al Garante la definizione delle misure di garanzia, ovverosia quelle ulteriori condizioni necessarie perché il trattamento dei dati genetici, biometrici o relativi alla salute possa svolgersi su una delle basi giuridiche indicate dall'art. 9.2 GDPR, relativamente a:

• presidi di conformità ai principi del GDPR (sono citate a titolo di esempio le misure di minimizzazione);
• sicurezza dei trattamenti, e dunque la conformità all’art. 32 GDPR (il catalogo esemplificativo richiama cifratura e pseudonimizzazione);
• modalità di tutela dei diritti degli interessati (ad esempio, il diritto a ricevere informazioni sui trattamenti).

Lo schema richiamato consente già di individuare e valutare le misure poste in essere, nonché di programmarne ulteriori (magari all'interno di una DPIA).

Per quanto riguarda il consenso è interessante notare che tale elemento viene indicato come «ulteriore misura di protezione dei diritti dell’interessato» nell’ipotesi in cui ricorra un «particolare ed elevato livello di rischio» e limitatamente all'ambito del trattamento dei dati genetici.

In positivo, è bene ricordare che alcuni trattamenti potrebbero validamente essere fondati sul consenso del paziente qualora esulino dall'ambito di applicazione dell'art. 9.2 lett. h) e non sia riscontrabile diversa base giuridica. Ciò significa che il titolare deve conseguentemente essere in grado di gestire tale consenso, riscontrandone e garantendone la validità, soprattutto sul piano operativo.

Essere GDPReady è...comprendere il consenso in ambito sanitario.

Privacy by Dadaism: (Indi)gestione del Rischio

Il risk-based approach, o approccio basato sul rischio, ha generato forse una serie di metodi che si professano (negli intenti) analitici ma da cui (in concreto) non scaturiscono risultati effettivamente fruibili.

Vero è che l'idea di adeguatezza presta il fianco a contenuti decisamente dada, se si prescinde (ad esempio) dai considerando nn. 74 (parametri di efficacia), 75 (modalità di individuazione), 76 (valutazioni oggettive) che richiamano, sostanzialmente, l'esigenza di svolgere un'analisi di contesto e riferirsi alla stessa durante tutto il processo valutativo.

© Succession Marcel Duchamp/ADAGP, Paris and DACS, London 2018

Cosa accade se non si ha contezza di tali indicazioni e comunque si sviluppa e si procede con un metodo? Diciamo che il destino comune è sforzi ed energie spesi per risultati poco fruttuosi...

Ecco alcuni esempi.

Metodo #1: Samarra.

Così come nel noto racconto di Samarra (o Samarcanda) si parla di inevitabilità, quella stessa mistura di fato e destino si riscontra in quelle valutazioni che partono direttamente dal punto di arrivo.

Ad esempio: l'esclusione di rischio elevato. Ancor meglio: l'indicazione di ogni rischio come minimo/irrilevante/trascurabile. O altrimenti, in modo più diffuso: l'indicazione di adeguatezza della (contro)misura predisposta.

Ovviamente viene preservato anche un certo spirito esoterico dal momento che non sono indicati criteri di misurazione (forse noti ai soli iniziati del metodo), né tantomeno si fa riferimento ad alcuna analisi preliminare che riguardi l'individuazione delle minacce o degli asset.

Tutto fa sorgere al lettore un dilemma salomonico: è sorto prima il rischio o la contromisura?

Metodo #2: CTRL+C | CTRL+V

A prima vista, solitamente si parte bene: il contesto è descritto (magari un po' romanzato...), si presentano i criteri di valutazione e molto spesso ci sono ampi elenchi ed allegati. Addirittura manuali. Opere ambiziose.

Leggendoli, si scopre però che l'idea di valutazioni oggettive è resa all'estremo, mediante la medesima valutazione ripetuta e ripetuta per ogni singolo rischio.

Molto spesso, inoltre, si scopre che qualche valutazione prescinde totalmente dal contesto e si riduce ad essere una formula di stile.

Repetita iuvant, ma non in questo caso.

Metodo #3: Occhio non vede...

L'ultimo del podio non segue lo spirito che nega sempre tutto del Mefistofele di Boito (che ci piace ricordare per aver ispirato anche Quel...Diavolo di consenso), bensì nega solo ciò che fornirebbe evidenza di un rischio. Anzi: rifiuta proprio di conoscerne l'esistenza.

Ciò si sostanzia in valutazioni delle sole misure di sicurezza funzionanti (riprendendo così parte del metodo #1), spesso in modo seriale e acritico (prendendo spunto dal metodo #2) e approcciandosi alla accountability come se la stessa potesse essere invocata come safe word in caso di data breach o ispezioni, per cui è sufficiente invocarla a gran voce (nonché, ovviamente, averla scritta almeno un numero significativo di volte in documenti interni debitamente vidimati e timbrati) perché tutto si interrompa. Personalmente: non credo che possa funzionare granché.

Essere GDPReady è...saper valutare i rischi.

Best Wishes - fail and get up

Fine anno è tempo di bilanci. Chiusure. Aperture. Nuovi progetti. Sogni infranti. Melanconia. Speranza. Senso di realizzazione.

Si parla spesso di storie di successo, senza citare quanti fallimenti si incontrano sulla propria strada e quanta forza ci vuole per rialzarsi. Ogni anno per un giovane (neanche più di tanto, quando si hanno più di trent'anni) è paura. Non farcela, pensare di dover chiudere l'attività, vedere che altri che hanno conquistato una propria posizione di mercato fanno offerte sottocosto per uccidere i newcomers e far macelleria sociale. E lì sei spaventato. Ti chiudi e non pensi a fare rete. Anzi: non fai nulla per quel timore indotto e l'elevata pressione sociale. E soffochi lentamente. Magari ti pieghi anche a logiche alienanti.

Auguro ai miei coetanei di affrontare quella paura.
E di imparare a fare rete. Creare sinergie.
Non per sopravvivere ma per poter fare, creando la nostra opportunità di costruire.

Io sono e sarò sempre ben disposto a collaborare con coetanei per cercare di superare le resistenze di un mercato del lavoro alieno e alienante, creato per mantenere la comfort zone di pochi che non siamo né saremo mai noi, forse irrequieti per natura e dunque volenterosi di dare il nostro contributo.

Il mio trainer mi ha inviato un video motivazionale che condivido, con un pensiero:"Winners will fail and get up"



Buoni propositi per il mio 2019 saranno dunque:

• migliore gestione del tempo;
• nessun piano B;
• relax;

su un percorso già tracciato.

Il migliore augurio di...buon proseguimento (come mi insegnano gli amici friulani) a tutti!