Notifica di violazione: la crittografia cambia l'equazione

Prima o poi qualcosa va storto. Un laptop con un export di database esce dall'ufficio. Un bucket cloud mal configurato viene indicizzato da un motore di ricerca. Un token GitHub di un fornitore trapela. Un'e-mail di phishing arriva all'assistente sbagliata. E in quell'istante preciso parte il timer giuridico: 72 ore per notificare l'autorità di controllo UE ai sensi del GDPR, «il prima possibile» ai sensi della nLPD svizzera, più — in alcuni casi — l'obbligo di informare ogni singolo interessato di quanto accaduto.

La crittografia forte non impedisce la sparizione del laptop né la cattiva configurazione del bucket. Ma entrambi i regimi tracciano una linea netta fra una violazione di dati leggibili per un terzo non autorizzato e una violazione di dati che non lo sono. Per i decisori — general counsel, DPO, CISO, leadership — quella distinzione spesso fa la differenza tra una notifica regolatoria dolorosa ma gestibile e un evento di notifica di massa con ripercussioni reputazionali e finanziarie. Questo articolo esamina dove vive quella distinzione, cosa conta come «abbastanza crittografato» e come i due regimi la trattano in pratica.

Cosa conta come violazione di dati personali

Entrambi i regimi usano una definizione ampia. L'art. 4(12) GDPR definisce la violazione come «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati». L'art. 5 lett. h nLPD usa un linguaggio sostanzialmente parallelo: qualsiasi violazione della sicurezza dei dati che comporti perdita, cancellazione, distruzione o modifica involontarie o illecite di dati personali oppure divulgazione o accesso a persone non autorizzate.

Alcune implicazioni pratiche per flussi basati su moduli:

• L'incidente non deve essere opera di un attaccante ostile. La perdita accidentale — disco lasciato in treno, e-mail al gruppo sbagliato, Google Drive condiviso pubblicamente — conta
• L'indisponibilità può contare. Se un ransomware cripta il vostro database di invii senza backup, è una «perdita» sotto entrambe le definizioni
• La violazione vive dove vivono i dati. Un leak presso il vostro fornitore di moduli è la vostra violazione come titolari, anche se la falla operativa era dal suo lato
• Una violazione presso il responsabile del trattamento è presuntivamente una violazione di cui il titolare deve essere informato; il responsabile ha un proprio obbligo legale di informare senza indebito ritardo

GDPR: il timer delle 72 ore e l'eccezione dell'art. 34

Il GDPR ha due distinti obblighi di notifica con due distinte soglie.

Notifica all'autorità di controllo (art. 33)

Il titolare notifica senza ingiustificato ritardo e, se possibile, entro 72 ore dalla presa conoscenza della violazione. Eccezione stretta: «salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche». In pratica, molti uffici legali notificano anche i casi limite, perché il costo di un'omissione apparentemente giustificata che si rivela ingiustificata supera di molto il costo di una sovra-notifica.

La notifica descrive natura della violazione, categorie e numeri approssimativi di interessati e registrazioni, probabili conseguenze e misure adottate o proposte. Un ritardo oltre 72 ore è ammesso, ma motivato. La motivazione è essa stessa un documento che l'autorità esaminerà in seguito.

Notifica agli interessati (art. 34)

Per la notifica individuale si applica una soglia molto più alta. È richiesta solo quando la violazione «è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche». L'art. 34(3) elenca tre situazioni in cui, pur in presenza di rischio elevato, la notifica individuale non è richiesta:

1. Art. 34(3)(a): «il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura»
2. Art. 34(3)(b): misure successive che rendano non più probabile il rischio elevato di cui al paragrafo 1
3. Art. 34(3)(c): sforzo sproporzionato — comunicazione pubblica o misura equivalente

La prima — l'eccezione della crittografia — è il più potente porto sicuro nell'architettura GDPR delle violazioni. Non elimina la notifica all'autorità (che resta dovuta), ma può legittimamente rimuovere l'obbligo di inviare una lettera, e-mail o comunicazione pubblica a ogni persona interessata. Su scala — decine o centinaia di migliaia di interessati — il delta pratico è enorme.

nLPD: «il prima possibile» e il criterio di protezione

La Legge federale svizzera sulla protezione dei dati riveduta (nLPD), in vigore dal 1° settembre 2023, affronta la notifica con intenti simili ma parole diverse.

Notifica all'IFPDT (art. 24 cpv. 1)

Il titolare notifica all'IFPDT qualsiasi violazione della sicurezza dei dati «suscettibile di comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata». La notifica è effettuata «il prima possibile». Nessun termine fisso di 72 ore, ma in pratica la maggior parte degli uffici legali svizzeri adotta un playbook da 72 ore per soddisfare GDPR e nLPD insieme.

Notifica alla persona interessata (art. 24 cpv. 2)

Il titolare informa l'interessato «se necessario alla sua protezione o se l'IFPDT lo richiede». Notevole: è un test con meno attrito rispetto all'innesco del «rischio elevato» del GDPR — la regola svizzera chiede ciò di cui la persona ha effettivamente bisogno per proteggersi.

La nLPD non codifica l'eccezione art. 34(3)(a) nelle stesse parole. Ma produce una logica vicina: se i dati non sono mai diventati leggibili al di fuori del cerchio autorizzato — perché è stata applicata una crittografia forte con chiavi non compromesse — la domanda «la notifica è necessaria alla protezione dell'interessato?» spesso trova da sé la risposta. Le indicazioni IFPDT e il quadro basato sul rischio della nLPD trattano l'effettiva intellegibilità dei dati come fattore di primo ordine.

Cosa conta come «abbastanza crittografato» per l'eccezione

Le autorità sono state chiare: «crittografia» nel senso dell'art. 34(3)(a) non è una casella da spuntare. Le Linee guida EDPB 01/2021 e i commenti IFPDT trattano alcune condizioni come necessarie perché l'eccezione si applichi davvero:

• Algoritmo e lunghezza della chiave devono essere stato dell'arte al momento della violazione — grosso modo AES-256, RSA-4096 o equivalenti moderni su curve ellittiche, o primitive ben revisionate
• L'implementazione deve essere solida — niente crypto fatta in casa, niente riuso di chiavi, gestione corretta di IV/nonce, crittografia autenticata (AES-GCM o equivalente) dove l'integrità conta
• Le chiavi devono essere rimaste fuori dalla portata dell'attaccante — se la stessa compromissione che espone il cifrato espone anche la chiave, niente porto sicuro
• La crittografia deve essere stata applicata ai dati effettivamente esposti — non a un'altra copia o a un altro sistema
• La resistenza nel tempo conta — un algoritmo forte oggi ma probabilmente rotto domani (es. minacce quantistiche note contro certi schemi) non offre copertura a vita

Alcuni corollari per i flussi di dati da moduli:

• La crittografia a riposo (full-disk) aiuta contro il furto fisico del disco, non contro una compromissione dell'applicazione in esecuzione — l'OS serve testo in chiaro all'app, l'app all'attaccante
• La crittografia in transito (HTTPS / TLS) non qualifica: ai due estremi i dati sono leggibili
• La crittografia applicativa con chiavi presso il fornitore non qualifica se è proprio il fornitore ad essere compromesso — possedeva le chiavi
• La crittografia end-to-end in cui solo il titolare del modulo possiede le chiavi (architettura a conoscenza zero) è la postura più forte: una violazione presso il fornitore espone solo cifrato, e il fornitore non può consegnare dati leggibili neppure sotto costrizione legale

Matrice decisionale: cosa notificare davvero

Ad alto livello, i due regimi producono la seguente matrice per gli scenari comuni. Solo indicativa — gli incidenti reali hanno sempre sfumature — ma dà un'idea di dove la crittografia vi sposta.

I grandi spostamenti stanno sempre nella colonna di destra. La notifica individuale su larga scala genera stampa, attenzione regolatoria, rischio di class action e danno reputazionale. L'eccezione della crittografia è il meccanismo giuridico che può rimuovere quella colonna per un dato incidente — ed è interamente guidata dai controlli tecnici predisposti prima dell'incidente.

Un playbook a 72 ore per doppio regime

Dove un fornitore a conoscenza zero cambia i conti

Per un'ampia classe di flussi basati su moduli — accoglienza pazienti, KYC, whistleblower, accettazione legale, sinistri assicurativi — l'esposizione alle violazioni passa per un fornitore di terze parti. La domanda il giorno dell'incidente: cosa c'è effettivamente nel database del fornitore?

Con un fornitore generico la risposta è spesso «testo in chiaro». Una violazione lì diventa la vostra violazione in qualità di titolari, e la strada attraverso art. 33, art. 24, art. 34 e notifica individuale è aperta. Con un fornitore a conoscenza zero — che conserva solo cifrato con chiavi che non possiede — lo stesso incidente produce esposizione cifrata. Se l'art. 34(3)(a) si applichi è infine una valutazione vostra e della vostra autorità, ma vi trovate dal lato della linea in cui può applicarsi.

Schweizerform è costruito esattamente per questa postura: crittografia end-to-end nel browser di chi invia, chiavi solo presso il titolare del modulo, hosting svizzero per il cifrato, supporto EN / DE / FR / IT. Non elimina il rischio. Cambia cosa significa una violazione.

La conclusione

La notifica sotto GDPR e nLPD è un esercizio di tempistica intorno a un esercizio di fatti. La tempistica — 72 ore, «prima possibile» — è rigida; i fatti guidano le decisioni. E il singolo fatto che ripetutamente cambia la decisione, in entrambi i regimi, è se i dati usciti dal vostro controllo fossero intellegibili a chi è finito a detenerli.

La crittografia non previene le violazioni. Cambia cosa una violazione vi obbliga a fare. Per dati tanto sensibili che una notifica di massa rappresenterebbe un evento che definisce la categoria della vostra organizzazione, quel cambiamento vale la pena di progettarlo — non dopo l'incidente, quando è tardi, ma prima, nelle scelte architetturali che determinano cosa «i dati» sono davvero quando qualcosa va storto.