L’articolo si pone l’obiettivo di fornire una panoramica relativa al fenomeno del data breach, indicando le best practices da seguire per prevenire le violazioni e per una loro corretta gestione.
Introduzione
Con l’entrata in vigore il 25 Maggio 2018 del Regolamento Europeo 679/2016, più comunemente conosciuto come General Data Protection Regulation (GDPR), si è posta l’attenzione su un tema della protezione dei dati personali, con l’obiettivo di armonizzare definitivamente la regolamentazione in materia ma anche per rispondere positivamente alle nuove sfide lanciate dalle tecnologie digitali[1].
Non a caso, uno degli aspetti cruciali riguarda il c.d. Data Breach, che, ai sensi dell’art. 4, punto 12 GDPR, consiste in “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” [2].
Tipologie di violazione e come reagire ad un data breach
L’ordinamento italiano prevede alcune ipotesi specifiche di obbligo di notificazione delle violazioni dei dati personali, come ad esempio nel campo della biometria o dei trattamenti sanitari, mentre il Regolamento estende l’obbligo di notificazione a tutti i titolari del trattamento.
Si possono verificare tre diverse tipologie di violazione:
- di riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali (es.: invio mail a soggetto diverso dal corretto destinatario);
- di integrità, in caso di modifica non autorizzata o accidentale dei dati personali (es.: virus che altera un database);
- di disponibilità/accesso, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali (es.: smarrimento pc, chiavetta usb, smartphone).
Inoltre, è opportuno notare che una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.
Se riscontrare una violazione dell’integrità o della riservatezza può apparire agevole, certamente non può dirsi lo stesso per una violazione della disponibilità.
Esempi di perdita di disponibilità possono rintracciarsi nella cancellazione accidentale di dati per opera di una persona non autorizzata, oppure un attacco da c.d. “blocco di servizio” (denial of service) che rende i dati personali temporaneamente o permanentemente inaccessibili.
I data breach vanno affrontati e gestiti nel minor tempo possibile, ciò per evitare l’insorgenza o l’aggravamento di danni fisici, materiali o immateriali alle persone fisiche.
L’evento pregiudizievole non deve in alcun caso essere celato, poiché il suo oscuramento potrebbe amplificarne gli effetti e inibire forme di reazione pubblica e dell’interessato.
Come reagire ad un data breach
È chiaro che nel momento in cui si chiede al titolare del trattamento di porre rimedio a una violazione, il titolare stesso dovrebbe, in primo luogo, essere in grado di riconoscerla.
Secondo il Considerando 85 la violazione se non affrontata in modo adeguato e tempestivo può provocare “danni fisici, materiali o immateriali alle persone fisiche, ad esempio […] discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata”.
La violazione dei dati personali è sintomo di vulnerabilità e quindi di un sistema di sicurezza ormai obsoleto che necessita degli opportuni adeguamenti e aggiornamenti.
Non a caso, soprattutto nelle compagini societarie, si sente spesso parlare dei concetti di privacy by design e privacy by default.
La protezione dei dati personali deve essere garantita già in fase di progettazione (by design) per qualsiasi tipo di progetto che comporti l’utilizzo di dati personali (sito internet, software, soluzione IT, ambiente di lavoro etc.).
Inoltre, devono essere previste opportune misure per garantire che siano trattati by default (cioè come impostazione predefinita) solo i dati personali necessari in ogni fase del trattamento («minimizzazione dei dati»): dalla raccolta alla cancellazione dei dati e non soltanto durante l’elaborazione.
Quando notificare la violazione all’Autorità di controllo?
La notifica del data breach viene disciplinata all’interno del GDPR agli artt. 33 e 34.
L’art. 33 GDPR e del Considerando 85 disciplinano la notifica all’Autorità di controllo, statuendo che essa debba avvenire ad opera del Titolare del trattamento “senza ingiustificato ritardo” e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Il Titolare sarà esonerato dall’obbligo di notifica se in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Ad incidere sulla necessità o meno di notifica vi è il disposto del Considerando 76 GDPR, il quale, fornendo indicazioni sulla determinazione del rischio tale da far attivare l’obbligo di notifica, prevede una serie di parametri ritenuti idonei a rappresentare gli effetti pregiudizievoli per gli interessati dal data breach.
Tali parametri riguardano:
- la tipologia di violazione (distruzione, perdita o sottrazione di dati);
- le caratteristiche del titolare dei dati (istituto di credito, istituto scolastico, struttura sanitaria ecc.);
- la natura e la sensibilità dei dati violati;
- le particolari categorie di soggetti eventualmente coinvolti nella violazione.
In tale ipotesi, il data breach, affinché sia notificato in maniera corretta deve:
- descrivere la natura della violazione dei dati personali;
- comunicare i dati del responsabile della protezione dei dati;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o che si prefigge di attuare il titolare del trattamento dei dati.
Può, tuttavia, capitare che il titolare non abbia, entro le 72 ore in cui è tenuto a notificare la violazione, tutte le informazioni e le specifiche della violazione. Ciononostante, il titolare sarà tenuto a comunicare tale situazione all’Autorità di controllo che accorderà una nuova scadenza al fine di permettere a quest’ultimo di reperire ed inviare le informazioni aggiuntive sulla violazione verificatasi.
Quando, invece, la violazione deve essere comunicata all’interessato?
L’art. 34 GDPR disciplina il caso in cui la notificazione del data breach debba essere effettuata, oltre che nei confronti dell’Autorità di Controllo, anche nei confronti dei soggetti interessati, ovvero delle persone fisiche cui si riferiscono i dati personali oggetto del data breach.
Il legislatore europeo, ben consapevole delle possibili conseguenze che potrebbero scaturire sul piano reputazionale e sul rapporto di fiducia con l’interessato, ha previsto che l’obbligo di comunicazione all’interessato debba essere effettuato solo in presenza di due condizioni:
- l’idoneità della violazione di impattare la sfera dell’interessato e
- il livello elevato di tale rischio.
Infatti, il testo dell’art. 34 GDPR recita quanto segue: “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.”
Dalla lettura dell’articolo si nota subito come, a differenza di quanto previsto dall’art. 33 GDPR, non sia previsto un termine temporale prestabilito entro il quale l’interessato deve essere edotto della violazione.
Altra differenza rispetto alla notifica di cui all’art. 33 GDPR si rintraccia nelle modalità di comunicazione. Infatti, se per la notifica all’Autorità di Controllo il GDPR prevede particolari formalità, la comunicazione all’interessato deve essere resa con “linguaggio semplice e chiaro”, tale da far comprendere istantaneamente all’interessato quanto occorso e le attività da intraprendere a seguito della violazione.
A maggior tutela dell’interessato, il comma 4 dell’art. 34 GDPR prevede una ulteriore supervisione da parte dell’Autorità di controllo qualora il titolare tardi nella comunicazione. Infatti, si disciplina che “nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda …”.
Tuttavia, il comma 3 dell’articolo 34 prevede anche delle ipotesi in cui non sia obbligatoria la comunicazione all’interessato, ovvero quando sia soddisfatta una delle seguenti condizioni:
“a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.”
Le sanzioni previste in caso di mancata notifica o comunicazione
Il mancato rispetto degli obblighi previsti dagli articoli 33 e 34 GDPR può comportare diverse sanzioni:
- divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità (articolo 58 GDPR);
- sanzioni amministrative pecuniarie sino all’importo di € 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (articolo 83 GDPR);
- risarcimento del danno in favore dell’interessato (articolo 82 GDPR).
Bibliografia e sitografia
https://www.garanteprivacy.it/ ;
Ziccardi-Perri, Tecnologia e diritto. Vol. 2: Informatica giuridica, Giuffrè, 2019;
EDPB Guidelines 01/2021.
Questo articolo è stato scritto da un’articolista di DirittoConsenso, partner di LegalTech Italia
[1] Si veda anche https://www.dirittoconsenso.it/2021/05/18/funzioni-garante-privacy/ ;
[2] https://www.garanteprivacy.it/regolamentoue/databreach ;