ated
ATED
20.05.20 - 09:470

L’obbligo di comunicazione delle violazioni di sicurezza: da FINMA alla futura Legge federale sulla protezione dei dati

Contributo dell’avv. Gianni Cattaneo, Studio legale CBM (www.cbm-lex.ch)

 

L’obbligo di comunicazione delle violazioni di sicurezza alle autorità di sorveglianza è uno strumento fondamentale sia nell’ottica del contenimento delle conseguenze avverse della violazione, sia (e soprattutto) in ottica preventiva, in quanto pone le aziende davanti alla prospettiva di un grave danno d’immagine, obbligandole ad affrontare seriamente la questione della sicurezza. Recentemente, FINMA ha chiarito gli obblighi degli assoggettati in tale ambito. Obblighi che nel 2021 saranno generalizzati ed estesi a tutti i soggetti che trattano dati personali nell’ambito della revisione totale della Legge federale sulla protezione dei dati (LPD). Siamo pronti a questo cambio totale di prospettiva?

L’obbligo di comunicazione secondo FINMA

L’art. 29 della Legge federale sulla vigilanza dei mercati finanziari prevede che gli assoggettati alla vigilanza (e le società di audit) devono notificare senza indugio a FINMA tutti gli eventi di grande importanza ai fini della vigilanza.

Nella propria Comunicazione sulla vigilanza 05/2020 del 7 maggio 2020 (link), FINMA ha istituito espressamente, disciplinandolo nel dettaglio, un ampio obbligo di notifica delle violazioni della sicurezza in caso di cyber-attacco.

A chi si applica tale obbligo? A tutte le persone che in virtù delle leggi sui mercati finanziari necessitano di un’autorizzazione, un riconoscimento, un’abilitazione o una registrazione da parte di FINMA e gli investimenti collettivi di capitale, come (ad esempio) banche, OAD, istituti finanziari, imprese di assicurazione e investimenti collettivi di capitale autorizzati, nonché i relativi gestori patrimoniali e le direzioni dei fondi.

L’attacco soggetto all’obbligo di notifica può colpire l’istituto tanto direttamente (ad esempio: attacco DDoS) quanto indirettamente (ad esempio: attacco a internet provider, fornitori di servizi IT, outsourcing e fornitori di elettricità). Al riguardo basta che esso abbia anche solo parzialmente raggiunto il suo scopo. Per violazione della sicurezza, s’intende la classica definizione di violazione della confidenzialità / integrità / disponibilità di beni protetti (personale, immobili, infrastrutture tecnologiche critiche e informazioni sensibili; si rinvia per i dettagli alle definizioni stabilite nell’Allegato 2).

La comunicazione va effettuata senza indugio. Occorre informare FINMA entro 24 ore dalla scoperta dopo una prima valutazione del caso. In seguito, entro 72 ore, occorre effettuare una comunicazione completa secondo i contenuti prescritti dalla Comunicazione attraverso la piattaforma EHP. Tutti i successivi sviluppi vanno comunicati entro 72 ore e un rapporto (root cause) deve essere allestito se l’attacco è di livello Elevato o Grave (secondo le definizioni stabilite nell’Allegato 1). In quest’ultimo caso, occorre dimostrare il buon funzionamento del processo di gestione della crisi.

La comunicazione deve essere implementata entro il 1° settembre 2020 (meglio se prima, secondo best effort).
 
Considerato quanto precede, il tema critico che si pone non è “come procedere” alla comunicazione quando si presenta una violazione della sicurezza, bensì quello di “essere in grado” di effettuarla nei tempi strettissimi previsti (24 – 72 ore). Per poterlo fare, occorre formalizzare senza ritardo ruoli, responsabilità, politiche e processi, nonché costituire un team multidisciplinare pronto a svolgere analisi complesse in regime d’urgenza.

In ottica futura, si raccomanda di concepire l’organizzazione preposta alla comunicazione delle violazioni cyber alla FINMA, in maniera tale da renderla “scalabile” in vista dell’entrata in vigore del futuro obbligo (generale) di comunicazione e/o informazione delle violazioni di sicurezza nell’ambito della protezione dei dati personali.

La gestione delle violazioni di sicurezza secondo la LPD

La futura LPD imporrà a tutte le persone (fisiche e giuridiche) attive nel settore privato che trattano professionalmente informazioni riguardanti persone fisiche, indipendentemente dalla loro grandezza e dal settore di attività, un obbligo ampio di comunicazione all’Incaricato federale della protezione dei dati (IFPD) delle violazioni della sicurezza, rispettivamente un obbligo di informazione al beneficio delle persone interessate (i.e. le persone i cui dati personali sono stati violati).

Secondo l’attuale stato della revisione totale della LPD (maggio 2020), la comunicazione all’IFPD deve avvenire in presenza di una violazione della sicurezza che comporta anche solo verosimilmente un rischio grave per la personalità e i diritti fondamentali della persona interessata. La comunicazione deve essere effettuata quanto prima. In linea di massima, secondo il Consiglio federale, occorre «agire rapidamente, ma la disposizione lascia un certo margine di apprezzamento. È determinante, tra le altre cose, la probabilità del rischio di ledere la persona interessata: quanto più elevati sono il rischio e il numero delle persone interessate, tanto più rapidamente dovrà reagire il titolare del trattamento». Nella comunicazione occorre menzionare almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste per rimediarvi.

L’obbligo di informare la persona interessata è dato ogniqualvolta l’informazione sia necessaria per proteggere la medesima oppure se lo richiede l’IFPD. Essa può avvenire anche tramite una comunicazione pubblica.

Onde risolvere il conflitto tra l’obbligo di comunicazione e il diritto di non contribuire alla propria incriminazione, la futura LPD prevede che la comunicazione possa essere usata nel quadro di un procedimento penale contro la persona soggetta all’obbligo di comunicazione soltanto con il suo consenso.

Onde poter dimostrare che l’organizzazione è in grado di gestire le violazioni della sicurezza, rispettivamente che le violazioni effettivamente subite sono state gestite conformemente alla legge, si raccomanda di allestire un “piano” calibrato sui rischi per gli interessati composto dei seguenti elementi:

  • una squadra d’intervento dotata delle competenze necessarie tecniche e giuridiche e specialmente organizzata e formata per effettuare rapidamente le analisi e le comunicazioni richieste in caso di evento avverso;
  • un manuale operativo per la gestione dei “data breach”;
  • una policy che specifichi (in particolare) i criteri volti a identificare concretamente i rischi e a valutarne il livello di gravità, istruzioni, processi, ruoli, responsabilità e meccanismi di verifica post evento sull’operato della squadra e sull’adeguatezza dei provvedimenti tecnici e organizzativi posti a difesa dei dati personali;
  • un registro delle violazioni della sicurezza, che contempli non solo le violazioni comunicate all’IFPD o oggetto di informazione agli interessati e le misure di contenimento adottate, bensì tutte le violazioni subite dall’azienda;
  • un addendum contrattuale nell’ambito dei rapporti del titolare con i responsabili del trattamento (i.e. i soggetti autonomi cui il titolare ha delegato lo svolgimento di specifiche attività di trattamento) che determini inter alia: (i) obbligo di comunicazione al titolare delle violazioni di sicurezza, (ii) modalità e tempistiche di esecuzione, (iii) obblighi di manleva e indennizzo e pene convenzionali;
  • istruzioni operative sulle attività di trattamento, rispettivamente attività di sensibilizzazione e di training regolare sui rischi per la sicurezza, indirizzati a coloro che trattano dati personali all’interno dell’azienda.

Conclusione

Subire una violazione di sicurezza fa parte del rischio imprenditoriale e in un mondo digitalizzato si tratta solo di una questione di tempo. La sicurezza assoluta non esiste, così come non esiste alcuna responsabilità in caso di violazione se i sistemi sono protetti conformemente alle norme e ai livelli di diligenza applicabili al settore in cui si opera.

Diversamente, la violazione degli obblighi legali di tutela tempestiva degli interessati imputabile a negligenza, impreparazione oppure inadeguatezza dell’organizzazione è un peccato imperdonabile, fonte di piena responsabilità per le imprese e, personalmente, per i loro organi (amministratori e direttori).

Occorre prepararsi ORA per affrontare crisi che per complessità e urgenza non permettono improvvisazioni.

ated
Guarda le 2 immagini
Allegati
ULTIME NOTIZIE ated ICT Ticino
ICT ATED TICINO
3 gior
I primi 40 anni di Pac Man
Lanciato sul mercato in Giappone nel maggio 1980 è il videogame più popolare di tutti i tempi insieme a Super Mario
ATED
5 gior
I Bachelor SUPSI in Ingegneria gestionale e informatica PAP anche in modalità blended learning
Da settembre una nuova opportunità di formazione universitaria professionale che coniuga studio e lavoro
ATED
1 sett
Da Apple un nuovo aggiornamento IOS contro il Covid-19
Dal contact-tracing al miglioramento del FaceId quando si indossa la mascherina, ecco le novità del sistema operativo Ap
ICT ATED TICINO
1 sett
Google Maps ha compiuto 15 anni
Oltre 1 miliardo di persone gli utilizzatori mensili delle mappe di Google (preCovid), nate a inizio 2005
FOTO
ICT ATED TICINO
2 sett
#Coronavirus: terreno fertile per le mail di phishing
Quali sono gli attacchi più diffusi, come riconoscerli e arginarli?
ATED
2 sett
Introduzione allo sviluppo di videogiochi con Construct 3
Vuoi costruirti da solo un tuo videogame? Trovi nella guida di Michel Palucci le fasi per realizzarlo in autonomia
CANTONE
2 sett
Il #coronavirus spopola sui social
Un'analisi di intarget ha fotografato da dicembre a fine aprile come sui social svizzeri si è parlato della pandemia.
ICT ATED TICINO
3 sett
La tecnologia al servizio del post pandemia
Con DOS Group soluzioni di business complete e affidabili per rinnovare strumenti e processi aziendali
ATED ICT TICINO
3 sett
RSI tra tecnologia e informazione
Maurizio Canetta ci spiega come la pandemia abbia ridefinito il ruolo dei media e della comunicazione di qualità
ATED
3 sett
Il lockdown triplica i nuovi consumatori online in Italia
Sono 2 milioni i nuovi consumatori online in Italia e l’ecommerce è il settore che crescerà di più a livello mondiale
Copyright ©2020 - TicinOnline SA  WhatsApp |  Company Pages | Mobile Report

Stai guardando la versione del sito mobile su un computer fisso.
Per una migliore esperienza ti consigliamo di passare alla versione ottimizzata per desktop.

Vai alla versione Desktop
rimani sulla versione mobile