Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, diano un primo e sintetico orientamento alla nuova normativa.
Cosa si intende per data breach?
Il GDPR definisce il data breach, in italiano “violazione dei dati personali”, come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le tipologie di data breach, quindi, sono molteplici e possono configurarsi nel furto o nell’accidentale cancellazione di dati da un database, ma anche in un attacco malware che impedisca l’accesso ai sistemi informatici o in un blackout che renda i dati temporaneamente non disponibili.
In sintesi si può dire che il data breach è una specifica tipologia di incidente di sicurezza, nel caso in cui siano coinvolti dati personali. Mentre tutti i data breach sono incidenti di sicurezza, non è detto che un incidente di sicurezza sia qualificabile come data breach.
Cosa deve fare il titolare del trattamento in caso di data breach?
Gli artt. 33 e 34 del GDPR disciplinano le procedure che il titolare deve attivare in caso di data breach. Queste si distinguono in una procedura di notifica della violazione all’autorità di controllo (che in Italia è il Garante per la protezione dei dati personali) e in una procedura di comunicazione della violazione all’interessato.
Entrambi i procedimenti hanno il preciso scopo di informare, il Garante o l’interessato, dell’avvenuta violazione per permettere loro di attivarsi e adottare eventuali misure di tutela.
Cosa deve fare il responsabile del trattamento in caso di data breach?
Sebbene l’obbligo di notifica e di comunicazione sia posto in capo al titolare, l’art. 33 dispone che il responsabile del trattamento, dopo essere venuto a conoscenza della violazione, debba informarne il titolare senza ingiustificato ritardo.
Per rendere l’intervento a seguito di violazioni il più efficiente e tempestivo possibile, anche in considerazione delle dimensioni dei contesti di trattamento dei dati e delle persone che possono esservi coinvolte, sarebbe utile per il titolare predisporre un apposito piano di sicurezza. Il piano dovrebbe definire gli step e le procedure organizzative da adottare nella gestione di eventuali violazioni e l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per riportare l’accadimento.
Quando deve essere effettuata la notifica al Garante?
L’art. 33 del GDPR prevede che il titolare che sia venuto a conoscenza di una violazione debba darne tempestiva notifica all’autorità di controllo, ove possibile entro le 72 ore o, se effettuata oltre il termine, motivando le ragioni del ritardo. Non è necessario effettuare la notifica nel caso in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le liberta? delle persone fisiche. È il titolare, quindi, responsabile di analizzare i potenziali rischi generati dal data breach nei confronti degli interessati e valutare se questi non siano tali da far scattare l’obbligo di notifica all’autorità di controllo. Si noti che basta la presenza di un rischio “semplice” per obbligare il titolare alla notifica.
Quando deve essere data comunicazione all’interessato della violazione?
L’art. 34 del GDPR prevede che, quando il data breach sia suscettibile di presentare un rischio elevato per i diritti e le liberta? delle persone fisiche, il titolare sia obbligato a dare comunicazione della violazione all’interessato senza ingiustificato ritardo. Dunque, a differenza della notifica al Garante, la comunicazione all’interessato deve essere fornita solo nel caso in cui la violazione presenti un “rischio elevato”. È comunque sempre compito e responsabilità del titolare effettuare tale valutazione. L’articolo prosegue elencando una serie di circostanze in cui, pur in presenza di un potenziale rischio elevato, la comunicazione all’interessato non deve essere effettuata se: a) il titolare aveva applicato adeguate misure tecniche e organizzative di protezione sui dati oggetti di violazione (es. cifratura); b) il titolare ha successivamente adottato misure idonee a scongiurare un rischio elevato per gli interessati; c) la comunicazione richiederebbe sforzi sproporzionati (in questo caso si procederebbe a una comunicazione pubblica o con simili modalità).
Quali sono le modalità di comunicazione?
Per essere compliant con l’obbligo di comunicazione del GDPR non è sufficiente informare l’interessato. L’adeguatezza di una comunicazione, infatti, dipende non solo dal contenuto del messaggio, ma anche dalle modalità con cui tale messaggio è stato veicolato. Per soddisfare la loro funzione informativa, le comunicazioni devono essere formulate in un linguaggio semplice e facilmente comprensibile. Devono essere privilegiate modalità di comunicazione diretta con i soggetti interessati (come e-mail, SMS o messaggi diretti). Il messaggio dovrebbe essere comunicato in maniera evidente e trasparente, evitando quindi di inviare le informazioni in contesti eccessivamente generici e fuorvianti (per esempio con update generali o newsletter).
Come si valuta il rischio a seguito di una violazione?
La valutazione dei rischi scaturenti da una violazione è un passaggio fondamentale perché permette al titolare non solo di individuare misure adeguate per arginare o eliminare l’intrusione, ma anche di valutare la necessità di attivare le procedure di notifica e comunicazione (che si attivano solo al superamento di determinate soglie di rischio). La valutazione è simile a quella che il titolare deve effettuare con riferimento al Data Protection Impact Assessment (cioè la valutazione d’impatto preventiva), a differenza della quale, però, dovrà essere maggiormente personalizzata avendo riguardo alle circostanze concrete della violazione.
Tra i fattori che il titolare dovrà tenere in considerazione nel suo assessment ci sono: il tipo di violazione (di riservatezza, di accessibilità o di integrità?) e la natura dei dati violati (es. dati sanitari, documenti di identità o numeri di carte di credito); la facilità con cui potrebbero essere identificati gli interessati (che varia a seconda del tipo di dati, identificativi o non identificativi, e delle modalità utilizzate nella loro conservazione, per esempio tecniche di pseudonimizzazione o crittografia); la gravità delle conseguenze sugli individui (che è differisce se i dati sono stati inviati per errore a un soggetto di fiducia o sono stati rubati da un terzo sconosciuto); eventuali speciali caratteristiche e numero degli individui interessati (es. se sono coinvolti bambini o anziani; se si tratta di violazione massiccia o individuale) e le particolari caratteristiche del titolare (per esempio in base all’ambito di attività).
Aggiungi commento