In questi anni la maggior parte delle aziende ha lavorato per adeguare i propri processi al GDPR soprattutto per la paura di dover ricevere importanti sanzioni da parte delle Autorità. Sino ad oggi, in effetti, la tendenza delle Autorità è stata quella di applicare ad ogni violazione una sanzione pecuniaria. Ma questa sorta di automatismo sta vacillando a seguito della sentenza dello scorso anno della Corte di giustizia e prova ne è un recente provvedimento del Garante.
Indice
Il caso davanti al Garante della multa ai turisti norvegesi
Due norvegesi in vacanza si sono visti recapitare una multa per infrazione del codice della strada e un sollecito di pagamento di pedaggi stradali da una società di recupero crediti italiana. I due norvegesi, tuttavia, non c’entravano nulla e, anzi, all’epoca dei fatti non si trovavano nemmeno in Italia. Gli stessi, in viaggio tra la Croazia e l’Italia, avevano sì noleggiato un’auto, ma non quella coinvolta nelle commesse infrazioni.
L’errore era partito dalla società di autonoleggio che ha associato i dati dei turisti norvegesi ad una seconda autovettura con un numero di targa non corrispondente all’autovettura noleggiata dagli stessi. Così, quando all’autonoleggio è arrivata la richiesta dei dati dei clienti che avevano noleggiato la seconda auto, l’autonoleggio ha erroneamente comunicato alla polizia stradale e alla società delle autostrade i nomi dei norvegesi, del tutto estranei alla violazione del codice della strada e all’omesso pagamento del pedaggio.
Dal punto di vista amministrativo, appurato l’errore le richieste di pagamento sono state annullate. Nel frattempo, però, i turisti hanno presentato un reclamo al Garante.
La decisione del Garante
Il Garante ha accertato che il disguido si è verificato per un errore materiale commesso dagli operatori durante l’inserimento manuale dei dati a fini di registrazione del noleggio.
Questo errore è stato qualificato dal Garante come una violazione dei dati personali e, in particolare, una violazione della sicurezza (data breach).
[si veda anche “Il fattore umano nei Data Breach: il comportamento dei dipendenti critico per il GDPR” ]
Il Garante ha constatato che si è trattato di un errore umano, occasionale e non di un problema di natura informatica. Inoltre, l’autonoleggio ha subito rettificato i dati e ha fatto archiviare le multe.
Per queste ragioni, il Garante ha chiuso il reclamo senza l’adozione di misure correttive o sanzionatorie, ma ha invitato l’autonoleggio ad una costante verifica delle misure di sicurezza dei dati per prevenire errori umani.
La decisione del Garante e la “nuova” corrente interpretativa della Corte di Giustizia
A fine dello scorso anno la CGUE si era pronunciata sull’interpretazione dell’art. 32 del GDPR e sull’obbligo di adottare adeguate misure di sicurezza privacy nel contesto di un data breach.
La CGUE, nella sentenza, ha concluso che la presenza di una violazione di dati, a fronte di una divulgazione o accesso non autorizzati, non è di per se sufficiente per ritenere che le misure tecniche e organizzative attuate dal titolare non siano adeguate ai sensi dell’articolo 24 e 32 del GDPR.
In particolare, per la Corte la lettura combinata degli artt. 24 e 32 del GDPR dimostra che tale regolamento istituisce un regime di gestione dei rischi e che esso non pretende affatto di eliminare completamente i rischi di violazione dei dati personali.
L’adeguatezza delle misure di sicurezza deve essere, quindi, valutata in concreto caso per caso, esaminando se tali misure siano state attuate tenendo conto dei diversi criteri previsti dai menzionati articoli e delle esigenze di protezione dei dati specificamente inerenti al trattamento di cui trattasi nonché ai rischi indotti da quest’ultimo.
Quindi, un data breach non è una condizione sufficiente ad escludere che le misure tecniche e organizzative attuate dal titolare del trattamento non siano adeguate.
Come si valuta l’adeguatezza delle misure è la stessa Corte di giustizia a precisarlo.
Infatti, in base all’interpretazione dell’art. 32 l’adeguatezza delle misure tecniche e organizzative debba essere valutata in due tempi:
- da un lato, valutando in concreto ex ante il grado di probabilità dei rischi indotti dal trattamento e il loro grado di gravità;
- dall’altro se le misure attuate dal titolare del trattamento siano adeguate a tali rischi, tenuto conto dello stato dell’arte, dei costi di attuazione nonché della natura, della portata, del contesto e delle finalità di tale trattamento.
I giudici nazionali devono quindi valutare l’adeguatezza delle misure tecniche e organizzative attuate dal titolare in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi.
Pertanto: Data Breach non corrisponde automaticamente a misure inadeguate
Sino ad oggi, tendenzialmente, le Autorità per la protezione dei dati si sono orientate verso un regime di responsabilità oggettiva nell’affrontare i data breach.
Nella maggior parte dei casi, infatti, il verificarsi di una violazione ha significato l’inadeguatezza delle misure di sicurezza adottate dal titolare del trattamento. In altri termini: siccome il titolare ha subito un data breach, ne consegue che le misure ai sensi dell’art. 32 non erano sufficienti e adeguate.
Con la sentenza, la Corte di Giustizia ha riconosciuto un principio oramai noto a tutti secondo cui nessun software è del tutto esente vulnerabilità ed ha, altresì, affermato che l’errore umano può succedere nonostante i protocolli migliori e la formazione frequente ed efficace.
La Corte, quindi riconosce questi profili di aleatorietà e lascia alle Autorità per la protezione dei dati nazionale, fare delle valutazioni della responsabilità del Titolare analizzando caso per caso.
Con questa nuova visione, può essere dato il giusto merito e valore a tutte quelle attività di un titolare del trattamento che, in modo proattivo, ha adottato le misure necessarie per garantire la piena conformità al GDPR.
La CGUE, in questo modo, riconosce che le misure punitive non sono sempre la risposta più appropriata a ogni violazione. Contemporaneamente incoraggia i titolari del trattamento ad adottare strategie proattive ed efficaci di protezione dei dati, ma anche ad essere veloci nel porre rimedio nel caso di violazione.
Con questa visione le Autorità europee dovrebbero, nella valutazione di un data breach, svolgere un’analisi specifica del contenuto delle misure di sicurezza, del modo in cui sono state applicate e dei loro effetti pratici, sulla base delle prove a loro disposizione e delle circostanze del caso specifico. A contrario, quindi, in caso l’Autorità contesti l’idoneità e efficacia delle misure di sicurezza, le stesse saranno tenute a fornire motivazioni specifiche e dettagliate a supporto della loro contestazione.
Considerazioni conclusive
In perfetta continuità con la decisione della Corte di Giustizia si inserisce il Provvedimento del Garante rispetto al reclamo dei due turisti norvegesi. Nel caso specifico la violazione non è stata causata da un attacco hacker dall’esterno, bensì da un errore umano accidentale dovuto a disattenzione, e con rischio basso per gli interessati.
Il data breach di cui al Provvedimento, in base alle indicazioni del gruppo dei Garanti UE (Edpb), innanzi tutto, non sono necessarie né la notifica del data breach all’autorità di controllo, né la comunicazione dello stesso agli interessati.
Lo stesso Garante ha precisato che “il disguido sembra essere dovuto ad un errore umano, di natura occasionale e che il titolare del trattamento (che, in linea di principio, è tenuto, in base alla legge italiana, a condividere i dati dei conducenti con gli enti richiedenti summenzionati) si è attivato proattivamente per ridurre o eliminare l’impatto di quanto accaduto sugli interessati.”
Attenzione la visione della CGUE e del Garante non è un invito ad abbassare il livello di attenzione e di adozione di misure tecniche e organizzative, tutt’altro.
E’ l’ennesima conferma che il titolare deve muoversi nell’adeguamento al GDPR attorno ad un principio di accountability e risk approach, individuando le proprie misure di sicurezza in base ai propri rischi e il verificarsi di un data breach non necessariamente comporta l’applicazione di una sanzione. (Un caso analogo interessante è anche il Provvedimento del Garante del 22 febbraio 2024)