Il Gruppo di lavoro Art. 29 del nuovo regolamento europeo sulla privacy ha divulgato le nuove linee guida dedicate al Data Breach (Guidelines on Personal data breach notification under Regulation 2016/679, adottate il 3 ottobre 2017): cosa fare in caso di violazioni di dati personali, a chi rivolgersi, come comunicarlo.
A seguito dell’entrata in vigore del GDPR (Regolamento UE 2016/679 in materia di protezione dei dati personali), il Gruppo di lavoro Art. 29 si è più volte attivato per offrire indicazioni concrete e casi esemplificativi che potessero aiutare gli operatori coinvolti nel trattamento di dati personali a interpretare le disposizioni del Regolamento e a pianificare correttamente il loro adeguamento.
Il GDPR disciplina il Data Breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’approccio del Regolamento si differenzia da quello adottato della Direttiva 95/46/CE, che, al contrario, non dispone alcun obbligo di notifica.
Il nostro ordinamento, attualmente, prevede un obbligo di notifica frammentario. Il Codice privacy ha introdotto uno specifico obbligo di notifica dei Data Breach per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico.
In altri settori (es. pubbliche amministrazioni), invece, l’obbligo è stato prescritto attraverso provvedimenti del Garante privacy. Il nuovo Regolamento, invece, introduce l’obbligo di notifica rendendola una funzione essenziale di tutela degli interessati, ed estende lo stesso alla generalità dei titolari del trattamento.
L’imposizione relativa alla procedura di notifica è dettata dalla probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui. Gli artt. 33 e 34 del GDPR, in materia, indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di Data Breach.
Le nuove linee guida integrano gli articoli sopracitati e permettono di rispondere ad una serie di quesiti la cui comprensione risulta di fondamentale importanza per la predisposizione di corrette procedure di notificazione.
Qual è l’autorità di controllo competente?
L’art. 33 dispone che la notifica debba essere effettuata all’autorità di controllo competente, a norma dell’articolo 55. A sua volta l’art. 55 prevede che ciascuna autorità di controllo è competente per l’esercizio dei compiti e dei poteri assegnatele sul territorio del proprio Stato membro. Dunque, se la violazione si verifica in un determinato Stato membro, sarà all’autorità garante di quello Stato che dovrà essere presentata apposita notifica.
Lo scenario si complica nei casi in cui il trattamento dei dati valichi i confini. In questo caso, il Gruppo chiarisce che dovrà utilizzarsi il meccanismo delle “autorità capofila” (e dunque autorità di riferimento anche in caso di notifica di Data Breach), previsto dall’art. 56 del GDPR, ossia l’autorità garante situata nello Stato membro presso cui si trova lo stabilimento principale o l’unico stabilimento del titolare o del responsabile.
Naturalmente, il titolare rimane libero di notificare la violazione a tutte le autorità degli Stati membri in cui ritiene possano esserci conseguenze pregiudizievoli per gli interessati ivi locati. Tuttavia, risulterà compliant anche nel caso decida di eseguire la notifica solo con riferimento all’autorità capofila correttamente individuata.
Quando il titolare è ritenuto “a conoscenza” di una violazione?
L’art. 33 impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.
Ai sensi dell’art. 33 del Regolamento (UE) n. 2016/679, il Titolare del trattamento, se consapevole di una violazione dei Dati personali trattati, è tenuto ad informare senza ritardo anche gli stessi Interessati.
Al fine di rendere effettivo il processo di notifica, questa procedura viene resa nota a tutti coloro che nell’ambito del rapporto di lavoro e/o di collaborazione trattano Dati personali del Titolare del trattamento.
È fatto obbligo a ciascun dipendente e collaboratore di segnalare ogni caso di incidente informatico e/o ad archivi cartacei di cui sia venuto a conoscenza e ogni evento che potrebbe potenzialmente condurre ad una violazione di dati personali.
Il Gruppo raccomanda ai titolari di predisporre un piano di sicurezza che evidenzi le procedure organizzative interne da adottare nella gestione di eventuali violazioni e l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per riportare l’accadimento.
Nelle linee guida, il Gruppo ritiene che debba considerarsi “a conoscenza” il titolare che abbia un ragionevole grado di certezza in merito alla verificazione di un incidente di sicurezza.
Alcune violazioni saranno facilmente rilevabili mentre per altre sarà necessaria un’indagine più approfondita. In quest’ultimo caso, durante la fase di investigazione, il titolare può essere esonerato dall’obbligo immediato di notifica. La fase investigativa, tuttavia, non deve essere abusata per prorogare il termine di notifica. Non deve quindi esistere alcuna dilazione temporale nelle comunicazioni tra titolare e responsabile.
Rimane salva la possibilità̀ che sia il Responsabile stesso ad effettuare la notifica per conto del Titolare, su specifica autorizzazione del titolare contrattualmente prevista. Tale notifica deve essere fatta in conformità̀ con gli articoli 33 e 34 del GDPR fermo restando la responsabilità̀ legale in capo al Titolare del trattamento. Ciò non toglie, è bene sottolinearlo, che le responsabilità nei confronti dell’autorità e degli interessati scaturenti dalla notifica o dalla sua mancanza, permangano in capo al titolare. In caso di negligenza, il responsabile potrà rispondere unicamente nei confronti del titolare.
Accanto agli obblighi di notifica all’autorità di controllo, l’art. 34 prevede in capo ai titolari un obbligo di comunicazione agli interessati che consenta loro di attivarsi a tutela dei propri interessi.
Come evidenziato dal Gruppo di lavoro, i due obblighi sono innescati dal superamento di soglie di rischio differenti: è sufficiente un rischio semplice per far sorgere il dovere di notifica, mentre è necessario un rischio “elevato” per attivare quello di comunicazione.
Incidenti informatici, incidenti agli archivi cartacei, Data Breach
Il GDPR definisce violazione dei dati personali o Data Breach “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4, par. 1, n. 12).
Eventi di Data Breach possono riguardare sia casi cui è connesso un rischio marginale (es. perdita di una chiavetta USB di un dipendente), che casi più̀ critici di furto o perdita di intere basi dati.
Nel caso si verificasse una delle casistiche riportate di seguito, è fondamentale verificare se e quali Dati personali sono coinvolti e, di conseguenza, procedere alla segnalazione dell’Incidente:
- furto o smarrimento di PC, laptop, smartphone, tablet aziendali contenenti Dati personali
- furto o smarrimento di documenti cartacei contenenti Dati personali
- furto o smarrimento di dispositivi portatili di archiviazione, come chiavette USB e hard disk esterni, contenenti Dati personali
- perdita o modifica irreparabile di archivi contenenti Dati personali in formato cartaceo o digitale
- diffusione impropria di Dati personali, per mezzo di:
- invio di e-mail contenente Dati personali al destinatario errato
- invio di e-mail con un file contenente Dati personali allegato erroneamente
- esportazione fraudolenta o errata di Dati personali dai sistemi aziendali
- virus o altri attacchi al sistema informatico o alla rete del Titolare
- divulgazione di dati confidenziali a persone non autorizzate
- violazione del sistema informatico effettuate attraverso rete internet
- violazione di misure di sicurezza fisica
- richiesta di invio di documenti e file contenenti Dati personali da parte di un esterno che si finge fraudolentemente un collega, collaboratore e/o altro soggetto e conseguente invio allo stesso di tali documenti e file
- segnalazione da parte di un fornitore di un evento di Data Breach sui propri sistemi che ha interessato o potrebbe potenzialmente interessare Dati personali del Titolare del trattamento.
Nel caso in cui si verifichi uno degli eventi sopradescritti o in tutti gli altri casi in cui il soggetto che tratta dati personali sia consapevole di altri eventi potenzialmente rischiosi per i documenti e gli archivi, è tenuto a informare immediatamente l’Ufficio Tutela Dati.
Una volta ricevuta la segnalazione dell’incidente, l’Ufficio Tutela Dati provvederà̀ a compilare una scheda su apposito registro informatico. Al registro andranno allegate tutte le comunicazioni relative all’incidente (ad es. eventuale denuncia all’autorità̀ giudiziaria, eventuale notifica al Garante Privacy e relativa corrispondenza, eventuali comunicazioni agli interessati, comunicazioni con i dipendenti/collaboratori coinvolti ecc.).
Analisi dell’Incidente
A seguito della rilevazione e/o segnalazione, l’Ufficio Tutela Dati effettua una valutazione al fine di verificare che nell’incidente rilevato siano stati effettivamente violati Dati personali trattati dalla Società̀. Tale analisi è finalizzata alla raccolta e identificazione delle seguenti informazioni:
- categorie di interessati cui i Dati personali violati si riferiscono
- categorie di Dati personali compromessi
- tipologia di incidente: violazione della riservatezza, disponibilità̀ o integrità̀
Nell’ambito della suddetta analisi, l’Ufficio Tutela Dati con il supporto del DPO identifica le azioni da intraprendere nell’immediato per contenere le conseguenze dell’incidente.
Vengono, inoltre, identificate le seguenti informazioni:
- identificabilità̀ degli Interessati i cui dati rappresentano l’oggetto della violazione
- misure di sicurezza che potrebbero aver mitigato gli impatti relativi all’incidente
- ritardi nella rilevazione dell’incidente
- numero di individui interessati.
In tale Registro dovranno essere inseriti tutti gli eventi che determinano o configurano anomalie rispetto alla normale gestione dei sistemi informatici e degli archivi cartacei (ad esempio: Virus, perdita di dati, alterazione di dati, attacchi alla rete, furti di credenziali, ecc.).
Sulla base dei suddetti parametri, si procede alla valutazione della gravità dell’incidente, a seconda della natura dei Dati personali, delle misure di sicurezza adottate e della tipologia di interessati.
Risposta e notifica del Data Breach
La precedente fase di analisi fornisce gli strumenti necessari a identificare e valutare le conseguenze e gli impatti causati dall’incidente rilevato.
Nel caso in cui dovesse risultare improbabile che l’incidente presenti rischi per i diritti e le libertà degli interessati, la notifica all’Autorità̀ Garante risulta essere non obbligatoria. Qualora al contrario dovesse risultare possibile che l’incidente abbia determinato una violazione dei dati, l’Ufficio Tutela Dati, con il supporto del DPO, procede a predisporre la notifica all’Autorità̀ Garante.
La suddetta notifica contiene almeno le seguenti informazioni:
- natura della violazione dei dati personali
- tipologie di Dati personali violati
- categorie e numero di Interessati cui i dati compromessi si riferiscono
- nome e dati di contatto del DPO, interfaccia del Titolare del trattamento nei confronti dell’Autorità̀ di controllo
- probabili conseguenze della violazione dei Dati personali
- descrizione delle misure che il Titolare del trattamento ha adottato o è in procinto di adottare al fine di mitigare le conseguenze del Data Breach
- ove la stessa non sia presentata entro 48/72 ore dalla rilevazione, i motivi dell’eventuale ritardo nella comunicazione.
Qualora non sia stato possibile fornire tutte le informazioni obbligatorie, l’Ufficio Tutela Dati raccoglie quanto prima le informazioni supplementari e provvede a integrare, senza ritardo, la notifica già̀ inoltrata all’Autorità̀ di Controllo.
Modalità̀ di comunicazione agli interessati
Oltre a notificare il Data Breach all’Autorità̀ Garante, deve essere valutata l’esigenza di procedere con la denuncia all’Autorità̀ Giudiziaria competente, nonché́ con la notifica del Data Breach anche ai soggetti interessati i cui dati siano stati violati.
Nel caso in cui dal Data Breach possa derivare un rischio elevato per i diritti e le libertà delle persone, anche queste devono essere informate senza ingiustificato ritardo, al fine di consentire loro di prendere provvedimenti per proteggersi da eventuali conseguenze negative della violazione.
L’Ufficio Tutela Dati predispone l’eventuale comunicazione all’interessato/agli interessati, a firma del titolare, da inviarsi nei tempi e nei modi che lo stesso, anche attraverso la funzione consulenziale del DPO, individuerà̀ come più̀ opportuna come specificato nell’art. 34 del GDPR e tenendo conto di eventuali indicazioni fornite dall’Autorità̀ Garante.
Per stabilire se sia necessario provvedere alla notifica agli Interessati, saranno valutati i seguenti fattori:
- il trattamento può̀ comportare discriminazioni, furto d’identità̀, perdite finanziare, disturbi psicologici, pregiudizio alla reputazione, perdita di riservatezza dei Dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo
- gli Interessati rischiano di essere privati dei loro diritti, delle libertà o venga loro impedito l’esercizio del controllo sui Dati personali che li riguardano
- sono trattati Dati personali che rivelano l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi a condanne penali e a reati o alle relative misure di sicurezza
- in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità̀ o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali
- sono trattati Dati personali di persone fisiche vulnerabili, in particolare minori
- il trattamento riguarda una notevole quantità̀ di Dati personali e un vasto numero di Interessati.
La notifica agli Interessati sarà così effettuata, a meno che non siano state applicate misure tecniche e organizzative per proteggere i dati prima della violazione o per impedire il concretizzarsi dei rischi per diritti e liberà degli Interessati o non comporti uno sforzo sproporzionato rispetto al rischio.
In tal caso si valuterà̀ comunque l’opportunità̀ di procedere a una comunicazione pubblica o a una misura simile, tramite la quale gli Interessati siano comunque informati con analoga efficacia.
Gestione del Data Breach in qualità̀ di responsabile del trattamento ai sensi dell’art 28 GDPR 679/2016
Qualora l’Ufficio Tutela Dati rilevasse che la violazione qualificabile come Data Breach riguardasse dati personali di titolarità̀ di un soggetto terzo trattati dalla Società̀ in qualità̀ di Responsabile del trattamento, procede a informare – entro 24h dal verificarsi della violazione – il soggetto terzo titolare del trattamento.
Nel dettaglio, la comunicazione al soggetto titolare del trattamento dovrà contenere quanto meno le seguenti informazioni (oltre a quelle eventualmente richieste dallo stesso soggetto terzo titolare del trattamento):
- descrizione della natura della violazione dei dati personali comprensiva di informazioni in merito alle categorie e al numero di Interessati nonché́ alle categorie e al volume di dati personali oggetto di violazione
- nome e dati di contatto del DPO
- descrizione delle possibili conseguenze della violazione
- descrizione di eventuali misure già̀ adottate o di cui si prevede l’adozione per porre rimedio alla violazione di dati personali e per attenuarne i possibili effetti negativi.
Come devono comportarsi i titolari quando non dispongono di sufficienti informazioni sulla violazione?
La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di tutela immediate ai soggetti coinvolti. Elemento centrale della procedura di notificazione è quindi la sua tempestività.
Il Gruppo di lavoro chiarisce come il GDPR, tenendo in considerazione la possibilità che il Titolare non sia sempre già in possesso di tutti gli elementi utili per effettuare una descrizione completa ed esaustiva dell’infrazione, mette a disposizione del titolare alcune tecniche o modalità che permettono di bilanciare le esigenze di celerità del messaggio con quelle di una sua sostanziale accuratezza e completezza.
Vediamole insieme:
- approssimazione – ossia la possibilità di comunicare inizialmente un ammontare approssimativo di persone e dati coinvolti nella violazione, provvedendo a specificare il numero esatto a seguito di accertamenti
- notificazione in fasi – il titolare, qualora non fosse in grado di fornire con immediatezza all’autorità tutte le informazioni necessarie, potrà ottemperare agli obblighi di notifica comunicando, dopo una prima e rapida notifica di alert, tutte le informazioni per fasi successive, aggiornando ogni volta l’autorità su nuovi riscontri
- notifica differita –il titolare vittima di violazioni ripetute, ravvicinate e di simile natura, è autorizzato ad eseguire un’unica “notifica aggregata” di tutte le violazioni occorse nel breve periodo di tempo (anche se superi le 72 ore), purché la notifica motivi le ragioni del ritardo.
Come valutare il rischio conseguente a un Data Breach?
La valutazione dei rischi è un passaggio importante per un’efficiente gestione del Data Breach. L’analisi consente di individuare misure per arginare o eliminare l’intrusione e di valutare la necessità di attivare le procedure di comunicazione e di notifica.
Rispetto alla valutazione effettuata in sede di DPIA (Data Protection Impact Assessment) dove si valutano conseguenze potenziali nel caso si verifichi una violazione, la valutazione di Data Breach persegue uno scopo più mirato ossia il giudizio prognostico personalizzato avendo riguardo delle concrete circostanze della violazione.
Le linee guida rappresentano un valido aiuto alle complesse attività di assessment, in quanto forniscono una serie di fattori da tenere in considerazione ai fini della valutazione.
In particolare, le conseguenze della violazione variano a seconda di:
- tipo di violazione e natura dei dati violati (es. violazione di riservatezza, di accessibilità o di integrità dei dati; dati sanitari, documenti di identità o numeri di carte di credito)
- la facilità con cui potrebbero essere identificati gli interessati (es. l’aggressione riguarda dati identificativi o dati personali non direttamente identificativi
- era previsto l’utilizzo di tecniche di pseudonimizzazione o crittografia)
- la gravità delle conseguenze sugli individui in termini di potenziali danni (es. i dati sono stati inviati erroneamente a un fornitore di fiducia o sono stati sottratti da un terzo sconosciuto)
- speciali caratteristiche e numero degli individui interessati (es. bambini o anziani; violazione massiccia o individuale)
- particolari caratteristiche del titolare (es. ambito di attività economico o sanitario; contatto frequente con dati sensibili).
La temporanea perdita di accesso ai dati sanitari dei pazienti di un ospedale, a titolo esemplificativo, deve essere considerato un evento che pone a rischio i diritti degli individui e dovrà perciò essere correttamente gestita ai sensi degli artt. 33 e 34 del GDPR.
Lo smarrimento di un CD o di una chiavetta USB contenente dati criptati indecifrabili da terzi potrebbe ritenersi non lesivo nei confronti degli interessati e quindi non obbligatoriamente notificabile. In caso invece la chiave crittografica non sia sicura o non esista un backup dei dati smarriti, sarà necessario attivare le procedure di notifica e comunicazione individuate.