A seguito dell’entrata in vigore del GDPR (Regolamento UE 2016/679 in materia di protezione dei dati personali), il Gruppo di lavoro Art. 29 si è più volte attivato per offrire indicazioni concrete e casi esemplificativi che potessero aiutare gli operatori coinvolti nel trattamento di dati personali a interpretare le disposizioni del Regolamento e a pianificare correttamente il loro adeguamento.
Si collocano in questo scenario le nuove linee guida del Gruppo di lavoro Art. 29 sul data breach (Guidelines on Personal data breach notification under Regulation 2016/679, adottate il 3 ottobre 2017).
Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’approccio del Regolamento si differenzia nettamente da quello adottato della Direttiva 95/46/CE, che, al contrario, non dispone alcun obbligo generalizzato di notifica. Attualmente, anche il nostro ordinamento prevede un obbligo di notifica frammentario. In recepimento della normativa europea in materia di comunicazioni elettroniche, il Codice privacy ha introdotto uno specifico obbligo di notifica dei data breach esclusivamente per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. In altri settori (dati biometrici, dossier sanitario e pubbliche amministrazioni) l’obbligo è stato prescritto attraverso puntuali provvedimenti del Garante privacy. Il nuovo Regolamento, invece, attribuisce alla notifica una funzione essenziale di tutela degli interessati ed estende tale obbligo alla generalità dei titolari di trattamento.
Il criterio dirimente per valutare la necessità di avviare una procedura di notifica è la probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui. Appurato il rischio conseguente dalla violazione, gli artt. 33 e 34 del GDPR indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.
Le nuove linee guida integrano gli articoli citati e permettono di dare risposta ad una serie di quesiti la cui comprensione risulta di fondamentale importanza per la predisposizione di corrette procedure di notificazione.
Quando il titolare è ritenuto “a conoscenza” di una violazione?
L’art. 33 impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.
Nell linee guida, il Gruppo ritiene che debba considerarsi “a conoscenza” il titolare che abbia un ragionevole grado di certezza in merito alla verificazione di un incidente di sicurezza. È evidente che, in base alle specifiche circostanze, mentre alcune violazioni saranno facilmente rilevabili, per altre sarà necessario instaurare un’indagine più approfondita. In questi casi, durante la fase di investigazione, il titolare può essere considerato come privo di un grado di conoscenza tale da far scattare immediatamente l’obbligo di notifica. Ciò precisato, il Gruppo sottolinea che il diligente comportamento del titolare sarà in ogni caso valutato sulla base della sua tempestiva attivazione in caso venga informato di una possibile infrazione. La fase investigativa, quindi, non deve essere abusata per prorogare illegittimamente il termine di notifica.
A tale considerazione si legano le raccomandazioni del Gruppo sia con riferimento alla struttura organizzativa predisposta dal titolare, sia in merito al ruolo del responsabile del trattamento in caso di data breach. In primo luogo, il Gruppo raccomanda ai titolari di predisporre un piano di sicurezza che evidenzi le procedure organizzative interne da adottare nella gestione di eventuali violazioni e l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per riportare l’accadimento.
In merito al responsabile, l’art. 33 dispone l’obbligo in capo a quest’ultimo di informare tempestivamente il titolare dell’avvenuta violazione. Interpretando questo assunto alla luce del rapporto che lega titolare e responsabile, il Gruppo evidenzia come, in linea di principio, il titolare debba considerarsi a conoscenza della violazione nel momento in cui il proprio responsabile ne sia venuto a conoscenza. Non deve quindi esistere alcuna dilazione temporale nelle comunicazioni tra titolare e responsabile, giacché questi viene considerato come estensione fisica dell’attività del titolare e fa perciò scattare automaticamente l’obbligo di notifica in capo al primo.
Su questo punto, le linee guida prospettano l’ipotesi che il responsabile, sulla base di specifica autorizzazione del titolare contrattualmente prevista, possa eseguire personalmente la notifica per conto di quest’ultimo. Ciò non toglie, è bene sottolinearlo, che le responsabilità nei confronti dell’autorità e degli interessati scaturenti dalla notifica o dalla sua mancanza, permangano in capo al titolare. In caso di negligenza, il responsabile potrà rispondere unicamente nei confronti del titolare.
Qual è l’autorità di controllo competente?
L’art. 33 dispone che la notifica debba essere effettuata all’autorità di controllo competente, a norma dell’articolo 55. A sua volta l’art. 55 prevede che ciascuna autorità di controllo è competente per l’esercizio dei compiti e dei poteri assegnatele sul territorio del proprio Stato membro. Dunque, se la violazione si verifica in un determinato Stato membro, sarà all’autorità garante di quello Stato che dovrà essere presentata apposita notifica.
Lo scenario si complica nei casi in cui il trattamento dei dati valichi i confini territoriali nazionali, cosicché una loro violazione possa compromettere i diritti e le libertà di cittadini situati in diversi Pasi membri. In questo caso, il Gruppo chiarisce che dovrà utilizzarsi il meccanismo delle “autorità capofila”, previsto dall’art. 56 del GDPR. Fermo restando quanto disposto dall’art. 55, in caso di trattamenti transfrontalieri di dati personali si considera autorità capofila (e dunque autorità di riferimento anche in caso di notifica di data breach) l’autorità garante situata nello Stato membro presso cui si trova lo stabilimento principale o l’unico stabilimento del titolare o del responsabile. Naturalmente, il titolare rimane libero di notificare la violazione a tutte le autorità degli Stati membri in cui ritiene possano esserci conseguenze pregiudizievoli per gli interessati ivi locati. Tuttavia risulterà compliant anche nel caso decida di eseguire la notifica solo con riferimento all’autorità capofila correttamente individuata.
Le linee guida, peraltro, ricordano ai titolari che l’obbligo di notifica previsto dall’art. 33 del GDPR deve coordinarsi con ulteriori eventuali obblighi di notifica previsti da altri strumenti normativi. Per esempio, obblighi di notifica in caso di incidenti di sicurezza (categoria ampia che al suo interno ricomprende l’insieme delle violazioni di dati personali) sono presenti nel Regolamento e-IDAS per i fornitori di servizi fiduciari o nella Direttiva NIS per i fornitori di servizi essenziali e di servizi digitali. Dunque, se una società fornitrice di servizi certificati di firma elettronica riscontra una violazione di sicurezza, dovrà non soltanto notificare l’attività illecita alla propria autorità nazionale di riferimento ma, in caso siano coinvolti dati personali dei propri clienti e qualora ne ricorrano i presupposti, dovrà altresì darne riscontro all’autorità garante in materia di dati personali.
Come devono comportarsi i titolari quando non dispongono di sufficienti informazioni sulla violazione?
La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di tutela immediate ai soggetti coinvolti. Elemento centrale della procedura di notificazione è quindi la sua tempestività.
Tuttavia non sempre il titolare, anche quando ha appurato con ragionevole certezza l’esistenza di una violazione, è già in possesso di tutti gli elementi utili per effettuare una descrizione completa ed esaustiva dell’infrazione. Il Gruppo di lavoro chiarisce come il GDPR, tenendo in considerazione la predetta possibilità, mette a disposizione del titolare alcune tecniche o modalità che permettono di bilanciare le esigenze di celerità del messaggio con quelle di una sua sostanziale accuratezza e completezza.
La prima tecnica è l’utilizzo dell’“approssimazione”. Il titolare che non sia ancora in grado di conoscere con certezza il numero di persone e di dati personali interessati dalla violazione può comunicarne in prima battuta un ammontare approssimativo, provvedendo a specificare il numero esatto a seguito di accertamenti.
Secondo strumento previsto dal Regolamento è la “notificazione in fasi”. In questo caso il titolare, per la complessità o estensione della violazione, potrebbe non essere in grado di fornire con immediatezza all’autorità tutte le informazioni necessarie. Potrà allora ottemperare agli obblighi di notifica comunicando, dopo una prima e rapida notifica di alert, tutte le informazioni per fasi successive, aggiornando di volta in volta l’autorità sui nuovi riscontri.
Infine, il Regolamento prevede la possibilità di effettuare una notifica differita, dopo le 72 ore previste dall’art. 33. È il caso in cui, per esempio, un’impresa subisca violazioni ripetute, ravvicinate e di simile natura che interessino un numero elevato di soggetti. Al fine di evitare un aggravio di oneri in capo al titolare e l’invio scaglionato di un numero elevato di notificazioni tra loro identiche, il titolare è autorizzato ad eseguire un’unica “notifica aggregata” di tutte le violazioni occorse nel breve periodo di tempo (anche se superi le 72 ore), purché la notifica motivi le ragioni del ritardo.
Quali sono le modalità di comunicazione all’interessato?
Accanto agli obblighi di notifica all’autorità di controllo, l’art. 34 prevede in capo ai titolari un obbligo di comunicazione agli interessati che consenta loro di attivarsi a tutela dei propri interessi.
Come evidenziato dal Gruppo di lavoro, i due obblighi sono innescati dal superamento di soglie di rischio differenti: è sufficiente un rischio semplice per far sorgere il dovere di notifica, mentre è necessario un rischio “elevato” per attivare quello di comunicazione.
L’adeguatezza di una comunicazione è determinata non solo dal contenuto del messaggio, ma anche dalle modalità di effettuazione. Le linee guida, sulla base dell’art. 34, ricordano che devono sempre essere privilegiate modalità di comunicazione diretta con i soggetti interessati (quali email, SMS o messaggi diretti). Il messaggio dovrebbe essere comunicato in maniera evidente e trasparente, evitando quindi di inviare le informazioni nel contesto di update generali o newsletter, che potrebbero essere facilmente fraintesi dai lettori. Inoltre, dovrebbe tenere conto di possibili formati alternativi di visualizzazione del messaggio e delle diversità linguistiche dei soggetti riceventi (es. l’utilizzo della lingua madre dei soggetti riceventi rende il messaggio immediatamente comprensibile).
Anche in questo caso, il Regolamento è attento a non gravare i titolari di oneri eccessivi prevedendo che, nel caso la segnalazione diretta richieda sforzi sproporzionati, questa possa essere effettuata attraverso una comunicazione pubblica. Si sottolinea però che anche questo tipo di comunicazione deve mantenere lo stesso grado di efficacia conoscitiva del contatto diretto con l’interessato. Così, mentre può ritenersi adeguata la comunicazione fornita attraverso evidenti banner o notifiche disposte sui siti web, non lo sarà se questa sia limitata all’inserimento della notizia in un blog o in una rassegna stampa.
Come valutare il rischio conseguente a un data breach?
La corretta valutazione dei possibili rischi scaturenti da una violazione è un passaggio importante per un’efficiente gestione del data breach. L’analisi consente al titolare di individuare con prontezza adeguate misure per arginare o eliminare l’intrusione e di valutare la necessità di attivare le procedure di comunicazione e di notifica (che si ricorda si attivano solo al superamento di determinate soglie di rischio). Rispetto alla valutazione effettuata in sede di DPIA (Data Protection Impact Assessment), la valutazione di data breach persegue uno scopo più mirato. Nel primo caso, infatti, si valutano conseguenze potenziali nel caso si verifichi un’ipotetica violazione. Nel caso di data breach, invece, il giudizio prognostico effettuato con il DPIA dovrà essere personalizzato avendo riguardo alle concrete circostanze della violazione.
Le linee guida rappresentano in questo campo un utile ausilio alle complesse attività di assessment, in quanto forniscono una serie di fattori che i titolari devono tenere in primaria considerazione ai fini della valutazione. In particolare, le conseguenze della violazione varieranno a seconda di: tipo di violazione e natura dei dati violati (es. violazione di riservatezza, di accessibilità o di integrità dei dati; dati sanitari, documenti di identità o numeri di carte di credito); la facilità con cui potrebbero essere identificati gli interessati (es. l’aggressione riguarda dati identificativi o dati personali non direttamente identificativi; era previsto l’utilizzo di tecniche di pseudonimizzazione o crittografia); la gravità delle conseguenze sugli individui in termini di potenziali danni (es. i dati sono stati inviati erroneamente a un fornitore di fiducia o sono stati sottratti da un terzo sconosciuto); speciali caratteristiche e numero degli individui interessati (es. bambini o anziani; violazione massiccia o individuale); particolari caratteristiche del titolare (es. ambito di attività economico o sanitario; contatto frequente con dati sensibili).
Accertato il livello di rischio, il titolare sarà in grado di determinare la necessità o meno di eseguire la notifica all’autorità e la comunicazione agli individui interessati. A titolo esemplificativo, quindi, nel caso una media company perda il temporaneo accesso agli indirizzi email dei propri clienti a causa di un blackout, non sarà necessario procedere alla notifica dell’evento. Al contrario, la temporanea perdita di accesso ai dati sanitari dei pazienti di un ospedale, deve essere considerato un evento che pone a rischio (anche elevato) i diritti degli individui e dovrà perciò essere correttamente gestita ai sensi degli artt. 33 e 34 del GDPR.
Allo stesso modo, lo smarrimento di un CD o di una chiavetta USB contenente dati criptati indecifrabili da terzi, nel caso in cui la chiave crittografica sia nel possesso del titolare e questi possieda un backup di tali dati, potrebbe ritenersi non lesivo nei confronti degli interessati e quindi non obbligatoriamente notificabile. In caso invece la chiave crittografica non sia sicura o non esista un backup dei dati smarriti, sarà necessario attivare le procedure di notifica e comunicazione individuate.
* di Giusella Finocchiaro è Professore ordinario di Diritto privato e Diritto di Internet all’Università di Bologna, e Avvocato. Maria Chiara Meneghetti è Legal Trainee, Studio Legale Finocchiaro