Scenario

Lo scorso 18 ottobre il Gruppo di Lavoro ex art. 29 (di seguito, “WP29”) la pubblicato le sue Linee Guida sulla notifica delle violazioni dei dati personali nel Regolamento UE 679/2016 (di seguito “Linee Guida”). Le Linee Guida non sono, tuttavia, definitive perché fino al 28 novembre 2017 i destinatari potranno fornire i loro commenti ed osservazioni alle stesse.

Il Regolamento UE 679/2016 (di seguito, “RGPD”) introduce l’obbligo di notificare una violazione dei dati personali alla autorità di controllo nazionale competente (ai sensi dell’articolo 33 del RGPD) e, in determinati casi, di comunicare la violazione alle persone fisiche i cui dati personali siano stati colpiti dalla violazione (ai sensi dell’articolo 34 del RGPD).

Questione principale

Le Linee Guida mirano a chiarire gli obblighi di notifica all’autorità di controllo e di comunicazione agli interessati, oltre che a descrivere le azioni che i titolari ed i responsabili del trattamento possono implementare per adempiere tali obblighi.   Inoltre, il WP29, al fine di assistere i titolari nel decidere se una determinata violazione debba essere notificata e a chi, aggiunge alle Linee Guida un Allegato che riporta, a titolo esemplificativo, una lista di esempi di scenari di violazioni di dati personali e di azioni raccomandate.

Di seguito si riportano i punti salienti delle Linee Guida.

  • Che cos’è una violazione dei dati personali?

Ai sensi dell’articolo 4(12) del RGPD una violazione dei dati personali (cd. “data breach”) è “una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Ciò significa che un data breach consiste concretamente in un incidente di sicurezza verificatosi su dati personali, che rende il titolare incapace di garantire il rispetto dei principi applicabili al trattamento dei dati personali delineati all’interno dell’articolo 5 del RGPD. In un parere di qualche anno fa (Opinion 03/2014), il WP29 ha identificato tre categorie di violazioni dei dati personali:

– “Confidentiality breach”: divulgazione o accesso non autorizzati o accidentali a dati personali; – “Availability breach”: perdita di accesso o distruzione accidentali o non autorizzati di dati personali; – “Integrity breach”: modifica non autorizzata o accidentale di dati personali.

  • Quando notificare?

Ai sensi dell’articolo 33(1) del RGPD, “in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Il WP29 specifica che per definire il momento il cui si debba ritenere che il titolare del trattamento sia venuto a conoscenza della violazione, si deve considerare quando, in virtù delle specifiche circostanze della violazione, il titolare abbia avuto un ragionevole grado di certezza che un incidente di sicurezza si sia verificato, compromettendo dati personali. Una volta che il titolare abbia stabilito il verificarsi della violazione, dovrà notificarla all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore.

Il RGPD ammette che i titolari del trattamento possano non essere in possesso di tutte le informazioni necessarie riguardanti la violazione nelle 72 ore successive al suo verificarsi. Dunque la norma consente la notifica per fasi, purché, però, l’autorità di controllo sia informata del fatto che il titolare fornirà ulteriori informazioni dopo la prima notifica. La disciplina delineata nel RGPD mira, in tal modo, ad incoraggiare i titolari ed i responsabili del trattamento ad agire immediatamente dopo una violazione, al fine di contenerne la portata e, ove possibile, di ripristinare la sicurezza dei dati personali compromessi, chiedendo prontamente il parere dell’autorità di controllo.

Il RGPD sembra ammettere le notifiche “tardive” (ovvero non effettuate entro le 72 ore), ma solo nella misura in cui tali notifiche siano corredate dai motivi del ritardo.

  • Conseguenze della mancata notifica

Se i titolari del trattamento omettono di notificare la violazione dei dati personali all’autorità competente o di comunicarla ai soggetti interessati (violando gli articoli 33 e 34 del RGDP), l’autorità di controllo potrà infliggere sanzioni amministrative fino a 10,000,000 Euro o, per le imprese, fino al 2% del fatturato mondiale annuo (ai sensi dell’articolo 83 (4)(a)). Tuttavia, qualora l’omessa notifica riveli un’assenza o inadeguatezza delle misure delle esistenti misure di sicurezza, l’autorità di controllo potrà altresì comminare le sanzioni previste per la violazione dell’articolo 32 del RGPD.

  • Quali informazioni fornire?

Ai sensi dell’articolo 33(3) del RGPD, la notifica della violazione dei dati personali, dovrebbe contenere almeno:

– una descrizione della natura della violazione dei dati personali, includendo, ove possibile, le categorie (quali, ad esempio, bambini o dipendenti) ed il numero approssimativo dei soggetti interessati coinvolti, oltre che le categorie ed il numero approssimativo degli archivi di dati personali oggetto di violazione (quali, ad esempio, archivi di dati relativi alla salute o contenenti dati relativi a conti correnti bancari); – il nome ed il contatto del Data Protection Officer o di un altro contatto, cui gli interessati possano rivolgersi per avere maggiori informazioni; – una descrizione delle misure di sicurezza già implementate o che il titolare del trattamento propone di implementare per fronteggiare la violazione dei dati personali.

Ulteriori dettagli potrebbero essere forniti dai titolari stessi o richiesti dall’autorità di controllo durante le attività istruttoria relativa alla violazione.

  • Cosa accade in caso di violazioni che coinvolgano più di uno Stato Membro?

Qualora una violazione dei dati personali coinvolga soggetti interessati in più di uno Stato Membro, il titolare dovrebbe notificare la violazione all’autorità di controllo capofila, che può essere identificata, ai sensi degli artt. 55 e 56 del RGPD, quale l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare o del responsabile del trattamento. In caso di dubbi circa l’identità dell’autorità capofila, il titolare del trattamento, dovrà notificare la violazione almeno all’autorità di controllo del luogo in cui si è verificata la violazione. Tuttavia, il titolare dovrebbe indicare se la violazione possa aver coinvolto stabilimenti situati in altri Stati Membri e le persone fisiche di quali Stati Membri potrebbero essere state pregiudicate dalla violazione.

  • Quando non è richiesta la notifica

Ai sensi dell’articolo 33(1) del RGPD, non è necessario notificare all’autorità una violazione dei dati personali, qualora sia improbabile che questa presenti un rischio per i diritti e le libertà delle persone fisiche.

Per esempio, qualora venga smarrito un device mobile criptato in modo sicuro utilizzato dal titolare e dai suoi collaboratori, la violazione non richiederebbe alcuna notifica all’autorità di controllo. Fintantoché la chiave di cifratura rimanga in possesso sicuro del titolare e che non si tratti dell’unica copia dei dati personali, questi ultimi sarebbero inaccessibili ad un eventuale aggressore.  Ciò significa che è improbabile che la violazione possa presentare un rischio per i diritti e le libertà dei soggetti interessati cui si riferiscono i dati.

  • Quando è necessaria la comunicazione ai soggetti interessati?

Oltre a notificare all’autorità di controllo, ai sensi dell’articolo 34(1) del RGPD, il titolare deve comunicare una violazione dei dati personali alle persone fisiche cui i dati si riferiscono, “quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. La comunicazione, che dovrebbe essere effettuata non appena possibile (e, segnatamente, “senza ingiustificato ritardo”), ha lo scopo di fornire ai soggetti interessati le informazioni specifiche sulle azioni che dovrebbero implementare per proteggersi dalla violazione. Ad esempio, la comunicazione potrebbe contenere consigli pratici per le persone fisiche per mitigare le conseguenze di una violazione (si pensi, ad esempio, al consiglio di effettuare un reset delle password).

Inoltre, le violazioni dovrebbero essere comunicate ai soggetti interessati direttamente con modalità di comunicazione dedicate e trasparenti, tali da garantire che essi comprendano le informazioni loro fornite (per esempio, email, SMS or banners chiaramente visibili in siti internet tradotti nelle lingue di principale rilevanza).

La comunicazione ai soggetti interessati non è necessaria quando:

– il titolare del trattamento abbia messo in atto, prima della violazione, misure tecniche ed organizzative appropriate per proteggere i dati personali (quali, ad esempio, una crittografia all’avanguardia); – il titolare del trattamento abbia, immediatamente dopo la violazione, implementato contromisure per assicurare che l’elevato rischio per i diritti e le libertà delle persone fisiche non sia più suscettibile di verificarsi; – contattare i soggetti interessati richiederebbe uno sforzo sproporzionato per il titolare.

  • Come valutare il rischio ed il rischio elevato?

Il titolare del trattamento dovrebbe non solo cercare di contenere l’incidente ma anche valutare il rischio risultante da quest’ultimo. Infatti, a seconda che sia probabile che la violazione comporti per i diritti e le libertà degli interessati un semplice rischio oppure un rischio elevato, il titolare del trattamento dovrà solamente notificare la violazione all’autorità, oppure effettuarne anche la comunicazione ai soggetti interessati.

Nel valutare il rischio, il WP29 suggerisce di tenere in considerazione i seguenti fattori: il tipo di violazione, la natura, la gravità, il volume di dati personali, la facilità di identificazione degli interessati, le caratteristiche particolari degli interessati o del titolare, oltre che il numero di persone interessati coinvolti.

  • Accountability e tenuta dei registri

Il titolare del trattamento dovrà documentare tutte le violazioni verificatesi, indipendentemente dal fatto che esse debbano essere notificate oppure no, al fine di poter dimostrare che il trattamento di dati è effettuato conformemente al RGPD.

A tal fine, il titolare dovrebbe tenere un registro interno in cui vengano inseriti tutti i dettagli riguardanti ciascuna violazione (quali, ad esempio, le sue cause, cosa è accaduto e quali dati personali siano stati compromessi) oltre che le conseguenze della violazione e le contromisure adottate dal titolare del trattamento.

Implicazioni pratiche

Il titolare del trattamento dovrebbe:

  • implementare appropriate policy sulla sicurezza dei dati personali, che mirino, ove possibile, a prevenire le violazioni e, qualora esse si verifichino, a reagire ad esse in modo tempestivo;
  • precisare le misure e procedure di sicurezza in incident response plan al fine pianificare in modo efficace e determinare preventivamente chi all’interno dell’organizzazione ha la responsabilità di gestione delle violazioni dei dati personali;
  • avere accordi con i responsabili del trattamento che impongano l’obbligo di avvisare immediatamente il titolare del trattamento in caso di violazioni dei dati personali;
  • in caso di trattamenti transfrontalieri, valutare, in occasione della redazione dell’incident response plan, quale sia l’autorità di controllo capofila cui bisognerà notificare l’eventuale violazione;
  • tenere un registro delle violazioni dei dati personali.