L'art. 4 del regolamento europeo definisce la violazione dei dati personali (data breach) come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati".
Quindi, un data breach non è solo un evento doloso come un attacco informatico, ma può essere anche un evento accidentale come un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un notebook di un dipendente). Ovviamente i titolari del trattamento devono predisporre le misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio cui sono esposti i dati trattati. Il nuovo regolamento generale europeo prescrive specifici adempimenti nel caso di una violazione di dati personali.
Le violazioni possono essere classificate in base ai seguenti tre principi della sicurezza delle informazioni (vedi parere Working Party art. 29 n. 3/2014):
- violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
- violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali;
- violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.
A seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.
1) Notifica della violazione al Garante
Una volta scoperta la violazione dei dati, il titolare deve notificare l'evento all'autorità di controllo, a meno che non "sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche" (es. perdita di dati già pubblici). La notifica deve avvenire "senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza" il titolare. Qualora la notifica non avvenga nelle 72 ore, il titolare dovrà precisare anche i motivi del ritardo. La norma prevede anche la possibilità di allegare ulteriori informazioni in un momento successivo, per cui è preferibile comunque effettuare la notifica nelle 72 ore, anche se è incompleta.
In base all'art. 33 del GDPR il responsabile del trattamento, se designato, deve avvertire dell'avvenuta violazione il titolare, perché questi valuti la necessità della notifica. Contrattualmente titolare e responsabile possono pattuire che la notifica alle autorità spetti al responsabile, sempre per conto del titolare. L'obbligo di notifica è sempre a carico del titolare anche in caso di nomina di un rappresentante o un DPO.
Contenuto della notifica al Garante
La notifica deve avere il contenuto previsto dall'art. 33 del GDPR:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
In base al provvedimento del Garante del 27 maggio 2021, a partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere comunicata al Garante tramite un’apposita procedura telematica, resa disponibile alla seguente pagina web per semplificare la comunicazione: https://servizi.gpdp.it/databreach/s/. Nella stessa pagina è disponibile anche un modello di autovalutazione per individuare le azioni da intraprendere in caso di data breach.
2) Comunicazione agli interessati
La comunicazione della violazione dei dati agli interessati non è sempre prevista, poiché potrebbe creare un allarme generalizzato e portare ad un danno reputazionale significativo. Per questo si prevede l'obbligo di comunicare la violazione solo se è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Nel qual caso il titolare del trattamento deve comunicare la violazione dei dati all’interessato senza ingiustificato ritardo (art. 34).
L'art. 34 prevede espressamente i casi nei quali non è richiesta tale comunicazione:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
c) la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Per valutare i fattori che determinano il rischio per le libertà e i diritti degli interessati, il Gruppo di lavoro Articolo 29 (ora EDPB) ha fissato i seguenti parametri:
- tipo di “breach”: il tipo di violazione è un parametro per la valutazione del rischio. La violazione dei dati sanitari di tutti i pazienti di un ospedale è ben diversa dalla perdita dei dati sanitari di un singolo paziente;
- natura, numero e grado di sensibilità dei dati personali violati: l’accesso al nome e all’indirizzo dei genitori di un figlio rappresenta un rischio diverso rispetto all’accesso da parte dei genitori naturali del nome e dell’indirizzo dei genitori adottivi;
- facilità di associare i dati violati ad una persona fisica: può accadere che i dati violati non siano facilmente riconducibili ad una determinata persona fisica;
- gravità delle conseguenze per gli Interessati: quando il titolare del trattamento percepisce il rischio che i dati oggetto della violazione possono essere utilizzati immediatamente contro gli Interessati (es. sostituzione di persona);
- numero di Interessati esposti al rischio: un parametro è sicuramente quello del numero degli Interessati potenzialmente coinvolti;
- caratteristiche del titolare del trattamento: un attacco ad una struttura ospedaliera certamente è diverso dall'attacco ad una piccola azienda.
Comunque, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta, con ciò imponendo la comunicazione agli interessati.
La comunicazione agli interessati non deve essere generica, ma deve contenere tutte le informazioni per consentire alle persone di comprendere il riscio e proteggere i loro dati. In particolare dovrà contenere una descrizione della natura della violazione delle sue possibili conseguenze, e dovrà fornire precise indicazioni sugli accorgimenti da adottare per proteggersi da usi illeciti dei primo dati (es. furto di identità) e per evitare ulteriori rischi, Ad esempio potrebbe essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare le password utilizzate per l'accesso ad altri servizi online se uguali o simili a quella violata (Garante Privacy: Provvedimento su data breach - 30 aprile 2019).
3) Obbligo di documentazione
Il titolare deve documentare le violazioni di dati personali subite, tramite un apposito registro delle violazioni. Il registro dovrà contenere:
- data e ora della violazione;
- sorgente dell'informazione sulla violazione;
- conseguenze della violazione (quantità dei dati personali e degli interessati coinvolti dalla violazione);
- data o ora della notifica della violazione all'autorità di controllo;
- motivo per il quale la violazione è stata ritardata o non è stata comunicata all'autorità di controllo;
- cause della violazione;
- provvedimenti adottati a seguito della violazione.
Tale documentazione dovrà essere fornita al Garante in caso di accertamenti.
Valutazione del rischio
Per stabilire cosa fare in caso di violazione dei dati personali occorre una valutazione del rischio, cioè dei possibili effetti dannosi in grado di produrre sui diritti e le libertà delle persone coinvolte. Il rischio viene valutato tenendo in considerazione la gravità, cioè la rilevanza degli effetti dannosi, e la probabilità, il grado di possibilità che si verifichino gli effetti. Ai fini della identificazione dei valori da attribuire ai due parametri si considerano i seguenti fattori:
- tipo di violazione (violazione della riservatezza, violazione dell’integrità, violazione della disponibilità);
- natura, sensibilità e volume dei dati personali;
- facilità nella identificazione degli interessati;
- gravità delle conseguenze per gli interessati;
- particolarità degli interessati (es. minori);
- particolarità dei responsabili del trattamento (es. personale sanitario);
- numero degli interessati.
Per la valutazione vi sono varie metodologie, come quella proposta dall'ENISA (Recommendations for a methodology of the assessment of severity of personal data breaches), oppure quella proposta dal Garante spagnolo (Guide on personal data breach management and notification). Entrambe sono valide. Ovviamente nella comunicazione al Garante va indicata la metodologia seguita.
Prendendo in considerazione la metodologia proposta dall'ENISA, i parametri da utilizzare sono:
1) Contesto del trattamento e tipologia di dati: si attribuisce un punteggio di base utilizzando come criterio il tipo di dati violati, considerando alcuni fattori di correzione;
2) Facilità di identificazione dell’individuo sulla base dei dati violati: si valuta in relazione a quattro livelli di identificabilità crescente, il cui valore sarà utilizzato come moltiplicatore sul punteggio di base del contesto del trattamento;
3) Circostanze della violazione: sono rappresentati dalle perdite di riservatezza (la cui entità varia a seconda della portata della divulgazione), di integrità (di cui si valuterà quanto le alterazione possano essere pregiudizievoli per l'individuo), di disponibilità (in cui diventa rilevante il fatto che sia una perdita temporanea o permanente), oppure da circostanze di violazione provocata da intenzioni malevole (fattore che aumenta sempre la probabilità che i dati vengano utilizzati in modo dannoso).
In base a tali parametri si calcola la gravità di una violazione di dati personali attraverso la formula: Gravità = (Contesto x Facilità di identificazione) + Circostanze
Valutando infine il risultato ottenuto secondo quanto riportato nella seguente tabella.
Al termine della valutazione si avrà un valore del rischio:
Basso: nessun pregiudizio sui diritti e sulle libertà degli interessati né sulla sicurezza dei dati personali coinvolti o pregiudizi minimi;
Medio: possibile pregiudizio sui diritti e sulle libertà degli interessati e sulla sicurezza dei dati personali coinvolti, superabili con qualche difficoltà;
Alto: pregiudizio certo sui diritti e sulle libertà degli interessati e sulla sicurezza dei dati personali coinvolti, superabili ma con gravi difficoltà;
Molto Alto: pregiudizio certo con conseguenze significative e anche irreversibili.
In caso di rischio almeno medio occorre la notifica al Garante, in caso di rischio molto alto occorre anche la comunicazione agli interessati. In ogni caso, ovviamente, occorre comunque documentare correttamente la violazione e le attività e le misure correttive poste in essere in un apposito registro da mettere a dispozione della autorità in caso di verifica.
Sanzioni
In caso di mancato rispetto delle procedure di notifica della violazione si applica la sanzione amministrativa fino ad un importo di 10 milioni di euro oppure il 2% del fatturato annuo della società. In caso di mancata notifica si configura anche l'assenza di adeguate misure di sicurezza, per cui si possono cumulare due distinte sanzioni.
Linee Guida EDPB e infografica Garante
A marzo 2023 il Comitato dei Garanti europei (EDPB) ha aggiornato le sue linee guida in materia di violazione dei dati personali (Guidelines 9/2022 on personal data breach notification under GDPR). In particolare l'EDPB ha precisato che nel caso in cui il titolare non ha uno stabilimento all'interno dell'Unione europea la notifica va inviata alle autorità di controllo di tutti i paesi menbri dell'Unione in cui i cittadini siano stati coinvolti nella violazione dei dati.
Il Garante ha anche pubblicato un'infografica sugli adempimenti da porre in essere in caso di violazioni dei dati personali (link al sito del Garante).
