Riferimenti Normativi
REGOLAMENTO 679/2016: Articoli 4.12, 33 e 34
Considerando C85, C86, C87, C88
WP250 – Guidelines on Personal data breach notification under Regulation 2016/679 – Adopted on 3 October 2017
Parere 3/2014 sulla notifica delle violazioni dei dati personali adottate il 25 marzo 2014
Quadro di sintesi
Nel capitoli precedenti si è parlato di sicurezza dei dati.
Nel caso in cui le misure adottate non siano state sufficienti a evitare una violazione dei dati, si parla normalmente di Data Breach.
Ma il concetto di Data Breach e le attività conseguenti previste dal Regolamento 2016/679 non sono altrettanto semplici. A cercare di fornire utili indicazioni nell’applicazione è intervenuto il Gruppo di Lavoro Articolo 29 con le Linee Guida WP250.
E’ bene innanzitutto precisare che la violazione di dati non costituisce assolutamente un concetto nuovo in materia di protezione dei dati personali, tanto è vero che la definizione contenuta all’art. 4.12) del GDPR trova una corrispondenza pressoché esatta nell’attuale codice privacy (d.lgs. 196/03), all’art. 4.3.g-bis), che a sua volta attuava la definizione di cui all’art. 2.i) dir. 2002/58/CE.
L’elemento di novità, uno dei più interessanti, del Regolamento è invece l’estensione della disciplina del data breach, che da settoriale (servizi di comunicazione accessibili al pubblico, oltre ad altre ipotesi regolate da fonti diverse) come era nella previgente normativa si trasforma (con qualche modifica) in generale, ossia applicabile a tutti i titolari di trattamento indipendentemente dalla tipologia di attività svolta.
In Italia, poi il Garante aveva applicato il data breach anche al settore del Dossier Sanitario e delle Linee Guida generali sulla biometria , ma si parla sempre di settore particolari.
Cerchiamo di capire meglio di cosa si tratta.
COSA VUOL DIRE DATA BREACH?
Il data breach giuridico, o “violazione dei dati personali” nella traduzione italiana, è un concetto estremamente ampio.
Esso include certamente l’attacco a sistemi informatici, l’intrusione o il data leak, dunque eventi in cui l’intervento malevolo di terzi è manifesto, ma comprende anche una serie di ipotesi riconducibili all’inosservanza di norme sulla sicurezza da parte del titolare del trattamento.
Tuttavia, anche la mera associazione o confusione indebita di dati personali all’interno della struttura del titolare o l’accessibilità degli stessi a ruoli interni della struttura del titolare non autorizzati costituisce data breach.
In definitiva, l’area di ciò che rileva in termini di violazione dei dati personali tende a sovrapporsi e a coincidere con ciò che rileva in termini di osservanza delle misure di sicurezza. Una conseguenza evidente è che ove sia previsto il data protection impact assessment (DPIA), ossia la valutazione d’impatto di cui all’art. 35 GDPR, questa dovrà necessariamente coordinarsi (se non proprio integrarsi) anche con gli schemi di reazione e contenimento del data breach.
Peraltro, l’area di ciò che rileva in termini di data breach si estende anche oltre la dimensione della sicurezza e include ipotesi di significativa alterazione della continuità operativa di un sistema informatico.
Tale è la posizione del Gruppo di lavoro dei Garanti europei, che nel WP250 viene proposto che esempio di data breach l’inaccessibilità temporanea di un call center dovuta a un guasto della rete elettrica: «A brief power outage lasting several minutes at a controller’s call centre meaning customers are unable to call the controller and access their records». Tendenzialmente, il concetto di data breach viene qui a essere equiparato a quello di rilevante discontinuità nel normale funzionamento di un sistema informatico.
Così facendo, tuttavia, sfuma oltremodo i bordi del concetto di data breach con evidenti ricadute pratiche.
In altre parole, mentre l’art. 4.12) del GDPR collega il Data Breach al termine «sicurezza» e lo sostanzia nella «distruzione» o nella «perdita», «modifica», «divulgazione», «accesso», l’art. 32 GDPR, espressamente dedicato al profilo della sicurezza, contempla al paragrafo 1, lett. b) anche «la capacità di assicurare su base permanente… la disponibilità e la resilienza dei sistemi e dei servizi di trattamento».
L’interpretazione del Gruppo di Lavoro di ricomprendere nel data breach l’interruzione temporanea di un servizio, cioè un availabilty breach è coerente con il concetto di sicurezza di cui all’articolo 32 del GDPR. Ma non solo. Lo stesso Gruppo di lavoro nell’Opinione 3/2014 aveva individuato un modello tripartito di violazione dei dati, a seconda che a essere colpita fosse:
1.la confidenzialità delle informazioni (confidentiality breach);
2.la loro disponibilità (availability breach);
3.la loro integrità (integrity breach).
Sono ovviamente ben possibili compromissioni multiple.
Ricapitolando si considera data breach: la violazione alla sicurezza che comporti la «distruzione» o nella «perdita», «modifica», «divulgazione», «accesso», ma anche l’interruzione temporanea del servizio.
COSA FARE IN CASO DI DATA BREACH?
La nuova disciplina generale introduce obblighi sinteticamente declinati agli artt. 33 – 34 GDPR, che fissano i requisiti, tempistica, coordinamento con l’Autorità.
Attenzione: non tutti i data breach determinano l’obbligo di notificazione al Garante e che non tutti quelli notificati vanno poi comunicati agli interessati (con le evidenti conseguenze, reputazionali e organizzative che la comunicazione comporta).
L’elemento dirimente è costituito dalla valutazione del rischio stimato per i diritti e le libertà degli interessati, quale conseguenza della violazione dei dati personali.
Cardine, come vediamo, è il concetto di “rischio” e della valutazione.
Le linee guida forniscono qualche indicazione a proposito della valutazione del rischio, ma anche molti esempi pratici. Il riferimento chiave resta il considerando 85 del GDPR.
Qui tra le conseguenze pregiudizievoli in cui si sostanzia il «rischio per i diritti e le libertà» degli interessati sono espressamente indicati le seguenti: «perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica».
Preme a chi scrive evidenziare l’espressa indicazione della «perdita del controllo» che non figurava nel Regolamento UE 611/2013 (Sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche) . Il diritto alla protezione dei dati personali va, cioè, correttamente inteso come fondamentale diritto di controllo e decisione riconosciuto all’interessato, diritto rispetto al quale, dunque, i dati personali costituiscono unicamente l’oggetto protetto ma non la ratio della tutela.
Ebbene, è confortante (e significativo per l’interprete) prendere atto che il legislatore europeo ha rimarcato che la violazione dei dati personali può ben determinare l’incisione del fondamentale diritto all’autodeterminazione informativa, che in definitiva il diritto alla protezione dei dati personali è diritto di controllo delle proprie informazioni in un mondo ormai esclusivamente digitale.
LA PROCEDURA DI NOTIFICA
Nell’articolo 33 si afferma che, il titolare deve comunicare formalmente la violazione all’Autorità Garante, senza indebito ritardo, e in ogni caso entro 72 ore dalla conoscenza. La notifica deve comprendere almeno:
• Una descrizione della violazione dei dati, compresi il numero delle persone interessate e le categorie di dati interessati;
• Il nome e i recapiti del DPO (Data Protection Officer o altro punto rilevante del contatto);
• Le probabili conseguenze della violazione dei dati; e
• Eventuali misure adottate dal titolare per porre rimedio o attenuare l’infrazione.
Il rispetto del termine di 72 ore per la segnalazione di violazioni dei dati rischia però di rivelarsi estremamente impegnativo, in quanto richiederà alle aziende di individuare, esaminare e riferire le violazioni dei dati in un tempo molto ridotto.
Il titolare deve inoltre tenere un registro di tutte le violazioni dei dati, che comprende i fatti e gli effetti della violazione e qualsiasi azione per porvi rimedio. Tutte le violazioni dei dati devono essere incluse nei documenti aziendali di gestione dei dati, e devono essere tutte registrate (anche quelle piccole o di scarso impatto) e comunicate al Garante.
Come devono comportarsi i titolari quando non dispongono di sufficienti informazioni sulla violazione?
La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di tutela immediate ai soggetti coinvolti. Elemento centrale della procedura di notificazione è quindi la sua tempestività.
Tuttavia non sempre il titolare è già in possesso di tutti gli elementi utili per effettuare una descrizione completa ed esaustiva dell’infrazione. Il Gruppo di lavoro chiarisce come il GDPR, tenendo in considerazione la predetta possibilità, mette a disposizione del titolare le seguenti tecniche o modalità che permettono di bilanciare le esigenze di celerità del messaggio con quelle di una sua sostanziale accuratezza e completezza.
1. La prima tecnica è l’utilizzo dell’“approssimazione”.
Il titolare che non sia ancora in grado di conoscere con certezza il numero di persone e di dati personali interessati dalla violazione può comunicarne in prima battuta un ammontare approssimativo, provvedendo a specificare il numero esatto a seguito di accertamenti.
2. Secondo strumento è la “notificazione in fasi”.
In questo caso il titolare, per la complessità o estensione della violazione, potrebbe non essere in grado di fornire con immediatezza all’autorità tutte le informazioni necessarie. Potrà allora ottemperare agli obblighi di notifica comunicando, dopo una prima e rapida notifica di alert, tutte le informazioni per fasi successive, aggiornando di volta in volta l’autorità sui nuovi riscontri.
3. Infine, la possibilità di effettuare una notifica differita, dopo le 72 ore previste dall’art. 33.
È il caso in cui, per esempio, un’impresa subisca violazioni ripetute, ravvicinate e di simile natura che interessino un numero elevato di soggetti. Al fine di evitare un aggravio di oneri in capo al titolare e l’invio scaglionato di un numero elevato di notificazioni tra loro identiche, il titolare è autorizzato ad eseguire un’unica “notifica aggregata” di tutte le violazioni occorse nel breve periodo di tempo (anche se superi le 72 ore), purché la notifica motivi le ragioni del ritardo.
LA COMUNICAZIONE AGLI INTERESSATI
Accanto agli obblighi di notifica all’autorità di controllo, l’art. 34 prevede in capo ai titolari un obbligo di comunicazione agli interessati che consenta loro di attivarsi a tutela dei propri interessi.
La comunicazione deve comprendere almeno:
• nome e recapiti del DPO (o altro punto rilevante del contatto);
• le probabili conseguenze della violazione dei dati;
• eventuali misure adottate dal titolare per porre rimedio o attenuare l’infrazione.
Come evidenziato dal Gruppo di lavoro, i due obblighi sono provocati dal superamento di soglie di rischio diversi: per l’obbligo di comunicazione è attivata da un rischio “elevato” come sopra precisato.
L’adeguatezza di una comunicazione è determinata non solo dal contenuto del messaggio, ma anche dalle modalità di effettuazione. Le linee guida, sulla base dell’art. 34, ricordano che devono sempre essere privilegiate modalità di comunicazione diretta con i soggetti interessati (quali email, SMS o messaggi diretti).
Il messaggio dovrebbe essere comunicato in maniera evidente e trasparente, evitando quindi di inviare le informazioni nel contesto di update generali o newsletter, che potrebbero essere facilmente fraintesi dai lettori. Inoltre, dovrebbe tenere conto di possibili formati alternativi di visualizzazione del messaggio e delle diversità linguistiche dei soggetti.
Il Regolamento è comunque attento a non gravare i titolari di oneri eccessivi prevedendo che, nel caso la segnalazione diretta richieda sforzi sproporzionati, questa possa essere effettuata attraverso una comunicazione pubblica. Si sottolinea però che anche questo tipo di comunicazione deve mantenere lo stesso grado di efficacia conoscitiva del contatto diretto con l’interessato. Così, mentre può ritenersi adeguata la comunicazione fornita attraverso evidenti banner o notifiche disposte sui siti web, non lo sarà se questa sia limitata all’inserimento della notizia in un blog o in una rassegna stampa.
A parere di chi scrive le attività di data breach richiedono una certa attività di analisi per i titolari del trattamento, è importante quindi arrivare al 25 maggio preparati.
Ecco qualche consiglio.
• Avere un controllo dei dati e degli strumenti utilizzati per trattare il dato aiuta ad accorgersi dell’eventuale breach.
• È importante implementare un sistema per la rilevazione di un data breach, ma anche su chi dovrà occuparti degli adempimenti successivi e del coinvolgimento del DPO.
• Al fine di accelerare i tempi è consigliabile inserire nella procedura di Breach un facsimile di notifica al Garante così da avere una traccia.
• Si raccomanda di gestire in maniera attenta i rapporti con i Responsabili esterni: contrattualmente sarà possibile demandare gli obblighi di notifica, ma la responsabilità di notifica resta in capo al titolare, fondamentale quindi il controllo del Responsabile e un ottimo coordinamento.