Varie sono le cause che possono provocare un data breach (o violazione di dati personali): un errore umano, un attacco informatico o addirittura il verificarsi di calamità naturali. La procedura dettata dal GDPR quando si verifica una violazione di dati personali è la medesima indipendentemente dalla causa che ha determinato la violazione o dimensione dell’impresa interessata.
Il contributo andrà ad analizzare cosa si intende per data breach, gli accorgimenti da adottare per affrontare una violazione e gli adempimenti che il titolare del trattamento dovrà assolvere.
Data breach: definizione e classificazione delle violazioni
Come affrontare il data breach
Come comportarsi in caso di data breach
Data breach: definizione e classificazione delle violazioni
Il Regolamento UE n. 2016/679 sulla protezione dei dati personali offre una definizione di quello che deve essere inteso per data breach. Secondo il regolamento, costituisce violazione di dati personali:
la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4 n. 12, GDPR).
Sulla scorta delle linee guida in tema di data breach pubblicate dal Comitato Europeo per la Protezione dei Dati (EDPB), le violazioni possono essere così classificate:
violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali;
violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.
In una precedente edizione delle linee guida pubblicate dall’allora Gruppo di lavoro articolo 29 per la protezione dei dati, veniva inoltre osservato che una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi loro combinazione.
Come affrontare il data breach
Il GDPR impone al titolare del trattamento di adottare adeguate misure tecniche ed organizzative utili, da una parte, a riconoscere l’avvenuta compromissione dei dati personali e, dall’altra, a facilitare l’adempimento degli obblighi di comunicazione imposti dalla normativa.
Anche se il regolamento non specifica quali siano le misure adeguate che il titolare del trattamento deve adottare, può risultare di supporto la realizzazione di specifiche linee guida per affrontare i casi di data breach. A seconda della struttura organizzativa interna, le linee guida potranno prevedere l’individuazione di specifiche figure, tra collaboratori o dipendenti, designati ad attuare quanto prescritto dalla normativa. Le linee guida possono anche prevedere l’organizzazione di training dei dipendenti in materia protezione dei dati personali consentendo loro di riconoscere eventuali violazioni.
Sempre per facilitare l’adempimento degli obblighi di comunicazione, il titolare del trattamento potrà realizzare specifici modelli di notifiche da indirizzare alle autorità di controllo competenti ed agli interessati in caso di data breach. Questo aiuterà a ridurre i tempi di notifica in ragione dei termini stringenti a cui il titolare del trattamento deve attenersi.
Il titolare del trattamento può inoltre mantenere un registro dedicato alle eventuali violazioni avute in passato. Anche se non si sono mai riscontrati data breach, il registro è comunque utile perché servirà a dimostrare la sua attenzione su questo tema e potrebbe contribuire a ridurre l’eventuale sanzione comminata.
Come comportarsi in caso di data breach
La procedura prescritta dal GDPR in caso di data breach è la medesima sia che il titolare del trattamento sia un professionista, una PMI o una grande impresa.
Una volta accortosi del data breach, il titolare del trattamento avrà 72 ore per comunicare l’incidente alle autorità di controllo competenti: il Garante privacy per l’Italia, ma è consigliato verificare se è necessario effettuare la notifica anche all’autorità di un altro paese (art. 33 (1), GDPR). Qualora la notifica venga effettuata oltre tale termine, il titolare del trattamento dovrà allegare le ragioni che hanno determinato il ritardo.
È bene evidenziare che non tutte le violazioni di dati personali devono essere oggetto di notifica all’autorità di controllo. Infatti, il titolare del trattamento è dispensato dalla notifica se a seguito della valutazione del data breach riscontra che la violazione non presenta un rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento dovrà quindi effettuare la comunicazione se la violazione comporta:
la perdita del controllo dei dati personali degli interessati;
limitazione dei loro diritti;
discriminazione, furto o usurpazione d’identità;
perdite finanziarie;
decifratura non autorizzata della pseudonimizzazione;
pregiudizio alla reputazione;
perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica.
Anche se esentato dalla notifica, il titolare del trattamento dovrà comunque annotare la violazione nel registro dedicato alle violazioni.
Da notare che se la valutazione risulta essere errata e come conseguenza della violazione vengono messi a rischio i diritti e le libertà delle persone fisiche, l’autorità competente potrà utilizzare i propri poteri e comminare le relative sanzioni. Qualora il rischio per i diritti e le libertà delle persone fisiche sia elevato, il titolare del trattamento dovrà comunicare la violazione di dati personali anche all’interessato.
Diversa è la situazione per il responsabile del trattamento che non dovrà effettuare la notifica all’autorità di controllo, ma direttamente al titolare del trattamento. Le modalità e il contenuto della comunicazione in caso di data breach dovranno essere previste nel contratto concluso tra i due che potrà anche prevedere la possibilità per il responsabile del trattamento di effettuare la notifica all’autorità di controllo. In questo caso, la responsabilità permane comunque in capo al titolare del trattamento.
I rapporti con il Garante privacy
La normativa specifica quali sono le informazioni che il titolare del trattamento deve includere nella notifica da indirizzare all’autorità di controllo che per l’Italia è il Garante privacy.
Nella notifica il titolare del trattamento dovrà indicare:
la natura della violazione dei dati personali comprese le categorie e il numero approssimativo di interessati coinvolti, insieme alle categorie e numero approssimativo di registrazioni dei dati personali in questione;
il nome e i dati di contatto del DPO o di altro punto di contatto presso cui ottenere più informazioni;
le probabili conseguenze della violazione dei dati personali;
le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi (Art. 33 (3) GDPR).
Il Garante privacy ha il potere di ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali qualora la violazione ponga rischi elevati per i diritti e le libertà delle persone fisiche e il titolare del trattamento indugi nell’effettuare tale comunicazione (art. 58(2)(e) GDPR).
Il mancato rispetto degli obblighi di notifica al Garante privacy e di comunicazione nei confronti degli interessati rende il titolare del trattamento passibile di importanti sanzioni. Il GDPR dispone infatti l’applicazione di sanzioni amministrative pecuniarie fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Considerazioni conclusive
Il data breach rappresenta il risultato che il titolare del trattamento cerca di evitare mediante l’adozione di misure tecniche ed organizzative. Il suo verificarsi evidenzia la vulnerabilità delle misure poste in essere e la necessità di un loro ripensamento per la sostituzione di quelle rivelatesi inefficaci. Esso costituisce anche un evento molto delicato in quanto può avere effetti particolarmente lesivi dei diritti degli interessati e questo si riflette inevitabilmente sulla procedura che il titolare del trattamento deve seguire al suo verificarsi. I termini stringenti imposti dalla normativa per la notifica all’autorità di controllo, ed eventualmente agli interessati, richiede la preventiva preparazione organizzativa del titolare del trattamento.
Particolare riguardo dovrà pertanto essere data alla preparazione del personale che oltre a saper riconoscere il verificarsi di un data breach dovrà anche essere in grado di gestire tempestivamente gli adempimenti richiesti. Sarà necessario investire nel training dei propri dipendenti per creare consapevolezza sui temi della privacy e testare regolarmente la loro preparazione.
