Nozione di Data breach
Ai sensi dell’art. 33 GDPR, il titolare del trattamento ha l’obbligo di notificare all’autorità di controllo ogni violazione che comporti un rischio per i diritti e le libertà delle persone fisiche senza ingiustificato ritardo, e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza. Se non è oggettivamente possibile fornire contestualmente tutte le informazioni richieste è possibile fornirle successivamente ma sempre senza ingiustificato ritardo.
Non tutte le violazioni comportano automaticamente l’obbligo di notifica al Garante: per rilevare ai fini della determinazione dell’obbligo di notifica, la violazione deve quanto meno rappresentare un possibile un rischio per i diritti e le libertà delle persone fisiche.
Ciò non toglie che anche le violazioni che non rientrano nell’obbligo siano comunque meritevoli di attenzione; difatti, anch’esse devono essere annotate in un apposito registro, che deve essere esibito all’autorità di controllo a semplice richiesta. Cosa che avverrà, probabilmente, in caso di una notifica di Data breach, laddove il Garante ritenga opportuno verificare se ci siano stati dei precedenti, al momento della adozione del provvedimento correttivo e/o della eventuale sanzione.
Di seguito la distinzione tra violazione-incidente di sicurezza e violazione-Data breach fornita dal Garante:
Un incidente di sicurezza è un evento (o una serie di eventi) di origine dolosa o accidentale, esterno o interno all’organizzazione, che può comportare la compromissione dei dati detenuti da un’organizzazione, mettendo a rischio uno o più dei tre principi della sicurezza delle informazioni: riservatezza, integrità e disponibilità. »
«Un incidente di sicurezza può riguardare contemporaneamente la riservatezza, l’integrità o la disponibilità di dati e informazioni o consistere in una qualsiasi combinazione di esse.
Un incidente di sicurezza può verificarsi, ad esempio, in seguito ad un attacco informatico, ad un comportamento umano illecito o accidentale, a un malfunzionamento hardware o software, ad una catastrofe naturale.
Una violazione dei dati personali (personal data breach o, più comunemente, data breach) è, infatti, un particolare tipo di incidente di sicurezza che, causando perdita di riservatezza, integrità o disponibilità dei dati personali, fa si che» il titolare del trattamento non sia più in grado di garantire l’osservanza dei principi relativi al trattamento dei dati personali
Contenuto minimo della comunicazione al Garante privacy
Lo stesso art. 33 GDPR in esame prosegue individuando le informazioni che vanno a costituire il contenuto minimo della comunicazione al Garante per la protezione dei dati personali:
a) la descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione e le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) La comunicazione del nome e dei dati di contatto del responsabile della protezione dei dati (DPO) o di altro punto di contatto (titolare del trattamento o responsabile del trattamento) presso cui ottenere più informazioni;
c) descrizione delle probabili conseguenze della violazione dei dati personali;
d) descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
L’obbligo di comunicazione agli interessati
Il successivo art. 34 GDPR pone un ulteriore obbligo in capo al titolare del trattamento che abbia subito un Data breach. Difatti, nella disposizione in questione si legge che, se la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, la comunicazione deve essere data senza ingiustificato ritardo anche agli interessati.
Contenuto minimo della comunicazione all’interessato
La comunicazione all’interessato deve essere effettuata con linguaggio semplice e chiaro e deve presentare il seguente contenuto minimo:
a) natura della violazione dei dati personali;
b) comunicazione del nome e dei dati di contatto del responsabile della protezione dei dati (DPO) o di altro punto di contatto (titolare o responsabile del trattamento) presso cui ottenere più informazioni;
c) descrizione delle probabili conseguenze della violazione dei dati personali;
d) descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Casi in cui non c’è l’obbligo di comunicazione all’interessato
L’obbligo di comunicazione all’interessato non scatta se si verifica anche una soltanto delle seguenti ipotesi:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati che farebbe scattare l’obbligo di comunicazione;
c) la comunicazione agli interessati richiede sforzi sproporzionati. In tal caso, per ottenere analoga efficacia, si procede a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati.
Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo, se ritiene che vi sia la probabilità che la violazione dei dati personali presenti un rischio elevato e che nessuna delle condizioni di esclusione dell’obbligo è soddisfatta, ordina al titolare del trattamento effettuare tale notifica.
La notifica al Garante Privacy
I. Il test di autovalutazione
Anzitutto si deve precisare che non tutti gli incidenti della sicurezza costituiscono un Data breach.
Il Garante, allo scopo di facilitare l’assolvimento dell’obbligo da parte del titolare del trattamento, ha predisposto un test di autovalutazione, effettuando il quale il titolare del trattamento può verificare se l’incidente della sicurezza che si è verificato integra una violazione dei dati rilevante ai fini dell’obbligo di notifica.
Negli esempi indicati dal Garante un Data breach può consistere:
- nell’accesso ai dati personali da parte di terzi non autorizzati;
- nella perdita di riservatezza a seguito dell’invio di una mail contenente dati personali a un destinatario errato;
- nella perdita o furto di un dispositivo o di un supporto di memorizzazione contenente dati personali;
- nella perdita di disponibilità di dati personali archiviati in un database, ad esempio attraverso un ransomware;
- nella perdita di disponibilità dei dati personali se, ad esempio, tali dati sono stati accidentalmente cancellati in maniera definitiva o resi temporaneamente indisponibili a causa dell’interruzione di un servizio.
Nel proseguo del test di autovalutazione il Garante fornisce la nozione di dato personale, di titolare del trattamento e responsabile del trattamento e di rischio, chiedendo al compilatore di effettuare la valutazione del rischio.
In particolare il Garante afferma: La valutazione del rischio derivante da una violazione dei dati personali, che deve tener conto della probabilità e della gravità del suo impatto sulle persone fisiche i cui dati sono stati coinvolti (cfr. considerando 75 e 76 del Regolamento), è un importante adempimento che, conformemente al principio di responsabilizzazione, spetta unicamente al titolare del trattamento.
Il corretto adempimento dell’obbligo di notifica della violazione all’autorità di controllo e dell’eventuale comunicazione della violazione agli interessati è il portato e la conseguenza diretti di una valutazione del Data breach effettuata correttamente.
Il Garante indica anche alcuni fattori ritenuti idonei per la valutazione dei potenziali rischi per i diritti e le libertà fondamentali degli interessati:
- tipo di violazione;
- natura, carattere sensibile e volume dei dati personali;
- facilità di identificazione delle persone fisiche;
- gravità delle conseguenze per le persone fisiche;
- caratteristiche particolari dell’interessato;
- caratteristiche particolari del titolare del trattamento;
- numero di persone fisiche interessate.
Esempi di violazioni che potrebbero non presentare rischi per gli interessati, e quindi non essere soggette all’obbligo di notifica all’Autorità di controllo:
- la violazione di dati personali già disponibili pubblicamente, in quanto potrebbe risultare improbabile il verificarsi di un danno fisico per gli interessati conseguente alla divulgazione di dati personali già pubblici;
- a perdita o il furto di una chiavetta USB contente dati personali crittografati (con algoritmo di crittografia all’avanguardia e chiave di decifrazione non sia compromessa), di cui è disponibile un backup che consente un integrale e tempestivo ripristino dei dati.
Infine il Garante chiede al compilatore del test di autovalutazione di valutare se il fatto accaduto sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati.
Se il test di autovalutazione si conclude con esito positivo il titolare del trattamento deve effettuare la notifica del Data breach al Garante.
II. Modalità di compilazione del modulo di notifica
Il titolare del trattamento deve compilare la notifica secondo le indicazioni fornite dal Garante
Nel riportare le indicazioni già presenti agli artt. 33 e 34 GDPR il Garante raccomanda al titolare del trattamento, tra l’altro:
(a) Nel caso in cui si tratti di una notifica preliminare, il titolare, al momento della notifica, deve indicarlo espressamente, impegnandosi a comunicare tutte le informazioni e i dettagli circa la violazione occorsa non appena disponibili e senza ingiustificato ritardo, attraverso una notifica integrativa.
(b) Nel caso in cui si tratti di una comunicazione di una violazione agli interessati di effettuarla senza ingiustificato ritardo, in quanto l’obiettivo principale della stessa consiste nel fornire agli stessi interessati informazioni specifiche sulle misure che questi possono prendere per proteggersi da eventuali conseguenze negative della violazione.
Il titolare del trattamento dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione.
Esempio 1:in caso di compromissione delle credenziali di accesso, il titolare dovrebbe fornire anche la raccomandazione di non utilizzare più la password compromessa né una simile nonché di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione;
Esempio 2: in caso di compromissione di dati relativi a conti correnti bancari o strumenti di pagamento (quali carte di credito o debito), il titolare dovrebbe fornire la raccomandazione di monitorare le movimentazioni economiche e/o richiedere supporto al proprio istituto bancario/finanziario
La violazione dovrebbe essere comunicata direttamente agli interessati coinvolti (ad esempio mediante messaggi di posta elettronica, SMS, comunicazione postale), a meno che ciò richieda uno sforzo sproporzionato.
In tal caso, si procede a una comunicazione pubblica o a una misura simile (ad esempio banner o notifiche su siti web di primo piano, pubblicità di rilievo sulla stampa) che permetta di informare gli interessati con analoga efficacia.
Nel comunicare una violazione agli interessati si devono utilizzare messaggi dedicati che non devono essere inviati insieme ad altre informazioni, quali newsletter o messaggi standard, al fine di rendere la comunicazione della violazione chiara e trasparente.
(c) Con riguardo all’obbligo del titolare del trattamento di tenere un registro delle violazioni, in cui devono essere documentate tutte le violazioni occorse, comprese quelle non notificate, il Garante precisa:
– l’obbligo del titolare di documentare tutte le violazioni è collegato al principio di responsabilizzazione di cui all’art. 5 GDPR e all’art. 3 c. 4, D.lgs 51/2018, e agli obblighi di responsabilizzazione del titolare del trattamento di cui all’art. 24 GDPR e all’art. 15 D.lgs 51/2018;
– il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni occorse, notificate o meno, e il Garante può chiedere di consultare tale registro;
– oltre ad informazioni quali cause, fatti, dati personali, effetti e conseguenze della violazione, raccomanda di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione, come, ad esempio, il perché una determinata violazione non è stata notificata al Garante.
III. Come si effettua la notifica al Garante?
Per conoscere la procedura di notifica di una violazione al Garante si deve fare riferimento al Provvedimento Garante del n. 209 del 27 maggio 2021 – doc. web n. 9667201.
Dal 1° luglio 2021 la notifica di una violazione di dati personali al Garante deve essere effettuata per via telematica, accedendo al portale dei servizi online tramite il sito istituzionale dell’Autorità.
Il link diretto è https://servizi.gpdp.it/databreach/s/
Una volta ricevuta la notifica, il Garante avvia una procedura di verifica, volta principalmente ad accertare l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Il provvedimento conclusivo può essere;
a) di archiviazione;
b) di applicazione di una o più misure correttive di cui all’art. 58 par. 2 GDPR;
c) di applicazione di una sanzione amministrativa pecuniaria che può arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2 per cento del fatturato totale annuo mondiale.