Il 23 dicembre 2020 il Garante per la protezione dei dati personali ha reso operativo sul proprio sito www.garanteprivacy.it un nuovo servizio per supportare i titolari del trattamento negli adempimenti previsti in caso di data breach (https://servizi.gpdp.it/databreach/s/).
Tale servizio comprende una pagina informativa, un modello di notifica al Garante e, soprattutto, una procedura di autovalutazione (“Self Assessment”) a servizio del titolare del trattamento per semplificare l’individuazione delle azioni da intraprendere e valutare se assolvere o meno all’obbligo di notifica al Garante e di comunicazione all’interessato.
La definizione di Data Breach
L’art. 4 n. 12 del GDPR definisce la “violazione dei dati personali” o “Data Breach” come: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Alcuni esempi di Data Breach sono l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, la deliberata alterazione di dati personali, l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.
La notifica al Garante e la comunicazione agli interessati
Come stabilito dall’art. 33 del GDPR, il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) deve procedere alla notifica di un Data Breach al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche coinvolte.
Inoltre, ai sensi dell’art. 34 GDPR, quando il Data Breach “è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.
Quando la violazione dei dati personali presenta un rischio “elevato” per i diritti e le libertà delle persone fisiche, il titolare deve dunque provvedere anche alla comunicazione all’interessato al fine di consentirgli di proteggersi e prendere ogni necessaria precauzione.
E’ dunque fondamentale che il titolare del trattamento adotti tutte le misure necessarie per assicurarsi di venire a conoscenza di eventuali Data Breach in maniera tempestiva e per essere in grado di valutare il rischio che ne può derivare al fine di adottare le misure appropriate previste dal GDPR.
Se il titolare del trattamento omette di notificare una violazione dei dati all’autorità di controllo o agli interessati oppure a entrambi, nonostante siano soddisfatte le prescrizioni di cui agli articoli 33 e/o 34 GDPR, l’autorità di controllo dovrà effettuare una scelta e prendere in considerazione tutte le misure correttive a sua disposizione, tra cui l’imposizione di una sanzione amministrativa pecuniaria il cui valore può ammontare fino a un massimo di 10 000 000 EUR o fino al 2% del fatturato totale annuo globale di un’impresa ai sensi dell’articolo 83, paragrafo 4, lettera a), del GDPR.
Il titolare deve in ogni caso documentare ogni Data Breach, a prescindere dalla notifica al Garante e dalla comunicazione agli interessati (ad esempio predisponendo un apposito registro) per consentire all’autorità di controllo di verificare il rispetto della normativa.
Il procedimento di autovalutazione del Garante
Durante il periodo di 72 ore prima della notifica il titolare del trattamento deve valutare il rischio per le persone fisiche e individuare le azioni necessarie per far fronte alla violazione.
Lo strumento di “autovalutazione” sul sito del Garante è messo a disposizione per supportare il titolare del trattamento nel processo decisionale volto all’assolvimento degli obblighi di notifica all’autorità o comunicazione agli interessati (https://servizi.gpdp.it/databreach/s/self-assessment).
A seconda delle scelte dell’utente il procedimento di Self Assessment si conclude con la determinazione se sia o meno necessario notificare la violazione al Garante e procedere con la comunicazione agli interessati indicando, per entrambi, i tempi, il contenuto e le modalità di invio delle comunicazioni. E’ inoltre inserito il link al modello di notifica messo a disposizione dall’Autorità.
Nella prima fase del procedimento di autovalutazione il sistema aiuta a determinare se si sia verificato o meno un vero e proprio Data Breach fornendo all’utente sia la definizione di “incidente di sicurezza” sia di “dati personali”. Le due domande a cui rispondere sono “Si è verificato un incidente di sicurezza che ha comportato la perdita di riservatezza, integrità o disponibilità di dati?” e subito dopo “L’incidente di sicurezza ha coinvolto dati personali?”
Laddove le risposte dell’utente siano entrambe affermative il sistema conclude: “’l’incidente di sicurezza occorso costituisce una violazione dei dati personali”.
A questo punto il procedimento di autovalutazione richiede di indicare chi è il soggetto che sta compilando l’autovalutazione se il responsabile o il titolare del trattamento.
Nel primo caso l’autovalutazione si conclude con l’invito ad informare, senza ingiustificato ritardo, il titolare del trattamento ai sensi dell’art. 33 GDPR circa la violazione dei dati personali occorsa. Nel secondo caso, invece, l’autovalutazione procede.
Il sistema formula ora la seguente domanda “È probabile che la violazione presenti un rischio per i diritti e le libertà degli interessati?”.
In un’apposita sezione viene riportata la definizione di rischio (quando “la violazione può comportare un danno fisico, materiale o immateriale, per le persone fisiche i cui dati sono stati violati”) e vengono indicati all’utente gli strumenti per la valutazione della probabilità e della gravità dello stesso.
Tali strumenti sono costituiti dal richiamo ai diversi fattori contenuti nelle Linee Guida in materia di notifica delle violazioni di dati personali (data breach notification) – WP250, adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017, versione emendata e adottata il 6 febbraio 2018.
Le suddette Linee Guida indicano i seguenti elementi: il tipo di violazione, la natura del dato violato (particolare o comune), il volume dei dati personali, la facilità di identificazione delle persone fisiche coinvolte, la gravità delle conseguenze per le persone fisiche, le caratteristiche particolari dell’interessato, le caratteristiche particolari del titolare del trattamento ed il numero di persone fisiche interessate.
Di norma più i dati sono “particolari” più il rischio aumenta così come aumenta il rischio quando più dati comuni possono essere combinati tra loro per identificare un soggetto o quando sono coinvolte persone fisiche considerate più “vulnerabili” quali i minori. Altre circostanze che possono incidere sulla valutazione sono il tipo di destinatario accidentale dei dati personali (se conosciuto o meno dal titolare) e la permanenza delle conseguenze della violazione per le persone fisiche.
In caso di risposta positiva sulla “probebilità del rischio” si procede con il Self Assessment e viene ancora richiesto se “la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche” con il rinnovo del richiamo alle suindicate Linee Guida e a quelle sulla DPIA.
In caso di risposta affermativa il sistema conclude il procedimento di autovalutazione con il seguente risultato: “devi notificare la violazione al Garante”, “devi comunicare la violazione agli interessati coinvolti” e “devi documentare la violazione”.
In caso di risposta negativa il sistema conclude il procedimento di autovalutazione con il seguente risultato: “non è obbligatorio effettuare la comunicazione agli interessati”, “devi notificare la violazione al Garante” e “devi documentare la violazione”.
Conclusioni
Nonostante il procedimento messo a disposizione dal Garante il titolare del trattamento dovrebbe disporre anche di proprie procedure interne per poter rilevare una violazione, valutarne la portata e porvi rimedio.
Il titolare dovrebbe dunque già pre-stabilire prima di qualsiasi incidente di sicurezza, nel rispetto del principio di accountability, le modalità di segnalazione interna delle violazioni di dati personali, il piano di intervento e la responsabilità operativa della gestione di un Data Breach formando adeguatamente il personale su queste procedure.
Conoscere la probabilità e la potenziale gravità dell’impatto sulle persone fisiche di un incidente già prima che si possa verificare aiuterà il titolare del trattamento ad adottare misure efficaci per contenere e risolvere la violazione e allo stesso tempo lo aiuterà a stabilire se è necessaria la notifica all’autorità di controllo e, se necessario, alle persone fisiche interessate.