Violazione dei dati personali («data breach»)
La violazione dei dati personali («data breach»)
È la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una delle prescrizioni del GDPR prevede che, mediante misure tecniche e organizzative adeguate, i dati personali siano trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Di conseguenza, il GDPR impone tanto al titolare quanto al responsabile di disporre di misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio cui sono esposti i dati personali trattati.
Un aspetto fondamentale di qualsiasi politica di sicurezza dei dati è la capacità, ove possibile, di prevenire una violazione e, laddove essa si verifichi ciò nonostante, di reagire tempestivamente. Per poter porre rimedio a una violazione occorre innanzitutto che il titolare sia in grado di riconoscerla.
Il significato di distruzione dei dati personali dovrebbe essere abbastanza chiaro: si ha distruzione dei dati quando gli stessi non esistono più o non esistono più in una forma che sia di qualche utilità per il titolare. Anche il concetto di danno dovrebbe essere relativamente evidente: si verifica un danno quando i dati personali sono stati modificati, corrotti o non sono più completi. Con perdita dei dati personali si dovrebbe invece intendere il caso in cui i dati potrebbero comunque esistere, ma il titolare potrebbe averne perso il controllo o l’accesso, oppure non averli più in possesso. Infine, un trattamento «non autorizzato o illecito» può includere la divulgazione di dati personali a (o l’accesso da parte di) destinatari non autorizzati a ricevere (o ad accedere a) i dati oppure qualsiasi altra forma di trattamento in violazione del GDPR.
Ci sono tre tipi di violazione di dati personali:
1. violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali
2. violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali
3. violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.
Una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.
Mentre stabilire se vi sia stata una violazione della riservatezza o dell’integrità è relativamente evidente, può essere meno ovvio determinare se vi è stata una violazione della disponibilità. Una violazione sarà sempre considerata una violazione della disponibilità se si è verificata una perdita o una distruzione permanente dei dati personali. Per esempio, quando i dati sono cancellati accidentalmente o da una persona non autorizzata, oppure, in caso di dati crittografati in maniera sicura, quando la chiave di decifratura viene persa. Se il titolare non è in grado di ripristinare l’accesso ai dati, ad esempio con un backup, la perdita di disponibilità sarà considerata permanente. Può verificarsi perdita di disponibilità anche in caso di interruzione significativa di un servizio abituale, quale un’interruzione di corrente.
Un incidente di sicurezza che determina l’indisponibilità dei dati personali per un certo periodo di tempo costituisce una violazione, in quanto la mancanza di accesso ai dati può avere un impatto significativo sui diritti e sulle libertà degli interessati. Viceversa, l’indisponibilità dei dati personali dovuta allo svolgimento di un intervento programmato di manutenzione del sistema non costituisce una violazione dei dati e, dunque, della loro sicurezza. Lo stesso dicasi per un’interruzione momentanea di corrente.
Come nel caso della perdita o distruzione permanente dei dati personali (o comunque di qualsiasi altro tipo di violazione), una violazione che implichi la perdita temporanea di disponibilità dovrebbe essere documentata, nel concetto di «accountability».
È, quindi, da tenere e aggiornare un registro di tutte le violazioni, prescindendo dall’obbligo di notifica all’autorità di controllo e, se del caso, di comunicazione agli interessati colpiti dalla violazione.
Gli obblighi del responsabile riguardo alla violazione di dati personali
Il GDPR impone tanto al titolare quanto al responsabile di implementare misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio cui sono esposti i dati personali trattati. Pertanto, sia il titolare sia il responsabile devono avere procedure appropriate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali, il che a sua volta consente di stabilire se scattano gli obblighi di notifica all’autorità di controllo e di comunicazione agli interessati.
Sebbene il titolare conservi la responsabilità generale per la protezione dei dati personali, il responsabile svolge un ruolo importante nel consentire al titolare di adempiere ai propri obblighi, segnatamente in materia di notifica delle violazioni e, in determinati casi, di comunicazione agli interessati che hanno sofferto la violazione.
Il trattamento di dati personali affidato a un responsabile deve essere disciplinato da un contratto e il GDPR stabilisce che il responsabile deve assistere il titolare nel garantire gli obblighi del GDPR, compresi quelli connessi agli eventi di violazione di dati personali. Se il responsabile viene a conoscenza di una violazione di dati personali che sta trattando per conto del titolare, il responsabile deve segnalarla al titolare «senza ingiustificato ritardo». Va notato che il responsabile non deve valutare la probabilità di rischio derivante dalla violazione prima di segnalarla al titolare; spetta infatti al titolare la valutazione nel momento in cui viene «a conoscenza» della violazione. Il responsabile deve soltanto stabilire se si è verificata una violazione e quindi darne comunicazione al titolare. Poiché quest’ultimo si serve del responsabile per conseguire le proprie finalità, in linea di principio, dovrebbe considerarsi «a conoscenza» della violazione non appena il responsabile gliela comunica.
L’obbligo del responsabile di comunicare la violazione al titolare consente a quest’ultimo di far fronte alla violazione e di stabilire se deve notificarla all’autorità di controllo e comunicarla alle persone fisiche interessate. Il titolare potrebbe anche indagare sulla violazione, in quanto il responsabile potrebbe non conoscere tutti i fatti pertinenti connessi alla violazione: ad esempio potrebbe non sapere se il titolare ha una copia o un back-up dei dati personali distrutti o persi. Tale circostanza può influire sull’eventualità che il titolare debba effettuare la notifica all’autorità di controllo e, se del caso, la comunicazione agli interessati.
Il GDPR non fissa un termine entro il quale il responsabile deve avvertire il titolare: richiede soltanto che deve farlo «senza ingiustificato ritardo». Quindi, deve segnalare la violazione al titolare tempestivamente, fornendo successivamente le eventuali ulteriori informazioni di cui venga a conoscenza. Ciò è importante per aiutare il titolare a soddisfare l’obbligo di notifica all’autorità di controllo «senza ingiustificato ritardo» e, comunque, «al massimo entro 72 ore».
Qualora fornisca servizi a più titolari tutti interessati dal medesimo incidente, il responsabile dovrà segnalare i dettagli dell’incidente a ciascun titolare.
Il responsabile può effettuare la notifica per conto del titolare se abbia ricevuto l’opportuna autorizzazione e ciò faccia parte degli accordi contrattuali tra il titolare e il responsabile. Tuttavia, è importante osservare che la responsabilità legale della notifica rimane in capo al titolare.
Quando notificare la violazione di dati personali all’autorità di controllo
Il GDPR richiede di notificare la violazione di dati personali all’autorità di controllo quando la violazione comporta un rischio per i diritti e le libertà delle persone. Non deve necessariamente essere un rischio elevato.
Infatti, il titolare deve effettuare la notifica all’autorità di controllo «senza ingiustificato ritardo» e, ove possibile, «entro 72 ore» dal momento in cui ne è venuto «a conoscenza», «a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».
È opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione di dati personali e informare tempestivamente l’autorità di controllo e gli interessati. È opportuno stabilire il fatto che la notifica sia stata trasmessa «senza ingiustificato ritardo», tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze ed effetti negativi per l’interessato.
È importante chiarire la questione relativa al momento in cui il titolare può considerarsi «a conoscenza» di una violazione. Si può ritiene che il titolare debba considerarsi «a conoscenza» nel momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha portato alla compromissione dei dati personali. Il titolare è quindi tenuto a prendere le misure necessarie per assicurarsi di venire «a conoscenza» di eventuali violazioni in maniera tempestiva in modo da poter adottare le misure appropriate. Il momento esatto dipende dalle circostanze della violazione. Alcune volte, sarà relativamente evidente fin dall’inizio che c’è stata una violazione, mentre in altre potrebbe occorrere del tempo per stabilire se i dati personali sono stati compromessi. Tuttavia, l’accento dovrebbe essere posto sulla tempestività dell’azione per indagare su un incidente per stabilire se i dati personali sono stati effettivamente violati e, in caso affermativo, prendere misure correttive ed effettuare la notifica, se necessario, e la comunicazione. Il titolare può effettuare una breve indagine (da concludersi, verosimilmente, entro circa 24 ore) per stabilire se la violazione si sia effettivamente verificata. Durante il periodo di indagine il titolare non può essere considerato «a conoscenza». L’indagine deve iniziare il più presto possibile per stabilire con ragionevole certezza se si è verificata una violazione; può quindi seguire un’indagine più dettagliata. Dopo che il titolare è venuto «a conoscenza» di una violazione soggetta a notifica, la stessa deve essere inoltrata «senza ingiustificato ritardo» e, ove possibile, «entro 72 ore». Il GDPR riconosce che il titolare non sempre dispone di tutte le informazioni necessarie su una violazione entro 72 ore dal momento in cui ne è venuto «a conoscenza», dato che non sempre sono disponibili entro tale termine dettagli completi ed esaustivi su un incidente. Pertanto, il GDPR consente una «notifica per fasi». Se si è certi che la violazione si è verificata, è raccomandabile notificare la violazione entro le 72 ore, chiarendo che ulteriori dettagli saranno forniti non appena se ne sia venuti a conoscenza.
L’autorità di controllo dovrebbe concordare le modalità e le tempistiche per la fornitura delle informazioni supplementari. Questo non impedisce al titolare di trasmettere ulteriori informazioni in qualsiasi altro momento, qualora venga a conoscenza di ulteriori dettagli rilevanti sulla violazione che devono essere forniti all’autorità di controllo.
Le informazioni da fornire all’autorità di controllo
Il GDPR richiede che la notifica contenga, almeno:
1. descrizione della natura della violazione di dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali
2. nome e dati di contatto del DPO o di altro punto di contatto presso cui ottenere più informazioni
3. descrizione delle probabili conseguenze della violazione dei dati personali
4. descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Il GDPR non definisce come stabilire le categorie e il numero di registrazioni. Le categorie di interessati dovrebbero essere riferite ai vari tipi di persone fisiche coinvolte (es.: dipendenti, persone vulnerabili, pazienti, clienti, minori). Le categorie di registrazioni dei dati personali fanno riferimento ai diversi tipi di registrazioni che il titolare può trattare (es.: dati sanitari, registri didattici, informazioni sull’assistenza sociale, dettagli finanziari, numeri di conti bancari o dettagli su carte di credito).
Uno degli scopi della notifica consiste nel limitare i danni alle persone fisiche. Quindi, se i tipi di interessati o di dati personali rivelano un rischio di danno particolare a seguito di una violazione (es.: furto di identità, frode, perdite finanziarie) è importante che la notifica indichi tali categorie di dati. In questo modo, l’obbligo di descrivere le categorie si collega all’obbligo di descrivere le probabili conseguenze della violazione. Il fatto che non siano disponibili informazioni precise (es.: il numero esatto di interessati coinvolti) non deve costituire un ostacolo alla notifica tempestiva delle violazioni. Il GDPR consente di effettuare approssimazioni sul numero di persone fisiche interessate e di registrazioni dei dati personali. Quindi, il titolare deve prestare attenzione a gestire gli effetti negativi della violazione piuttosto che fornire cifre esatte. Quando è evidente che c’è stata una violazione ma non se ne conosce ancora la portata, un modo sicuro per soddisfare gli obblighi di notifica è procedere a una «notifica per fasi». I diversi tipi di violazioni (riservatezza, integrità o disponibilità) possono richiedere la fornitura di ulteriori informazioni per spiegare in maniera esaustiva le circostanze di ciascun caso. L’autorità di controllo potrà anche richiedere di fornire altri dettagli ai fini di valutare la violazione.
Ad agosto 2019, il Garante ha diffuso sul proprio sito Internet un modello per la notifica di un «data breach». La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente ovvero con firma autografa. In quest’ultimo caso, la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura «Notifica violazione dati personali» e, opzionalmente, la denominazione del titolare.
Quando comunicare la violazione di dati personali agli interessati
In alcuni casi, il titolare deve anche comunicare la violazione agli interessati. Il GDPR stabilisce che il titolare deve comunicare agli interessati la violazione, «senza ingiustificato ritardo», quando è probabile comporti un rischio elevato ai diritti e alle libertà degli interessati. Il titolare deve ricordare che la notifica all’autorità di controllo è dovuta se la violazione probabilmente comporta un rischio per gli interessati, mentre la comunicazione agli interessati è richiesta soltanto se la violazione è probabile che presenti un rischio elevato per gli interessati. La soglia per la comunicazione agli interessati è, dunque, più elevata che per la notifica all’autorità di controllo e, quindi, non tutte le violazioni devono essere comunicate agli interessati. La comunicazione deve essere effettuata «senza ingiustificato ritardo», il che significa il più presto possibile. L’obiettivo è quello di fornire precise informazioni sulle azioni che gli interessati dovrebbero intraprendere per proteggersi dalle conseguenze negative della violazione.
Le informazioni da fornire agli interessati
La comunicazione agli interessati deve indicare almeno le seguenti informazioni:
1. descrizione della natura della violazione
2. nome e i dati di contatto del DPO o di altro punto di contatto
3. descrizione delle probabili conseguenze della violazione
4. descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi.
Il titolare può fornire informazioni supplementari.
La comunicazione deve descrivere chiaramente e con linguaggio semplice la natura della violazione.
Come regola generale, la violazione deve essere comunicata direttamente agli interessati, a meno che ciò comporti uno sforzo sproporzionato. In questo caso, il titolare dovrà, invece, fare una comunicazione pubblica o adottare una misura simile che permetta di informare gli interessati con analoga efficacia.
Diagramma riassuntivo sull’obbligo di notifica di «data breach» all’autorità di controllo e di comunicazione agli interessati
Per approfondire, consulta le FAQ o contattatami.