Il GDPR impone al titolare del trattamento e ai responsabili una serie di cautele da adottare al fine di dimostrare di aver trattato in maniera corretta i dati di cui dispongono. Fra queste vi è senz’altro quello di aver adottato tutte le misure tecniche ed organizzative idonee a scongiurare incidenti di sicurezza che comportano una violazione dei dati (data breach). Ma cosa si deve fare quando si viene a conoscenza di una violazione dei dati che si possiedono? Vediamo di analizzare gli step che possono guidare la gestione e la comunicazione di un data breach.
Indice degli argomenti
Sistema di gestione degli incidenti di sicurezza
Va premesso che creare un ambiente totalmente esente dal rischio di violazioni risulta pressocché impossibile e, pertanto, fra gli accorgimenti del titolare c’è anche quello di prepararsi alla gestione di un incidente di sicurezza.
Ritenersi esenti da tale rischio o, semplicemente, pensare ad una soluzione solo in caso di incidente, potrebbe condurre a delle conseguenze estremamente negative, tanto per il titolare, quanto per gli interessati.
Il GDPR concede al Titolare un tempo di 72 ore “da quando si viene a conoscenza della violazione” per valutare se procedere o meno alla notifica. In un tempo così breve, il titolare può rispondere solamente se ha predisposto delle procedure di valutazione ed ha individuato un efficace sistema di controllo e di comunicazione all’interno della propria struttura.
Passi fondamentali sono quindi l’individuazione di soggetti deputati al controllo e alla gestione degli incidenti.
Comunicazione di un data breach: la notifica al Garante
In più, può essere fondamentale la predisposizione di policy che fungano, per gli addetti ai lavori, da road map per analizzare prontamente il problema e coinvolgere in maniera efficace il DPO, al fine di valutare la necessità di una notifica al Garante e/o di una comunicazione agli interessati.
Parimenti, va detto che procedere ad una notifica all’Autorità e/o una comunicazione agli interessati (ex art. 33 e 34 GDPR) ogni qual volta si ritenga di aver subito una violazione di dati, potrebbe condurre a dei pregiudizi, ed esempio nel vanificare attività di indagini quando si procede ad una comunicazione pubblica della violazione o semplicemente ad un inutile disturbo all’interessato mediante la notifica.
Il consiglio, quindi, è di premunirsi di una procedura di gestione efficace atta a valutare attentamente quanto accaduto per comprenderne le conseguenze, il grado di rischio, per poi reagire tempestivamente.
Nello sventurato caso di una violazione di dati, che rappresenti un probabile rischio per i diritti e le libertà delle persone, il titolare dovrà certamente notificare all’Autorità Garante, il quale ha predisposto un modello da compilare ed integrare delle informazioni necessarie.
La comunicazione di un data breach agli interessati
Quando poi si procede alla valutazione sulla opportunità di una comunicazione verso gli interessati, e quindi che il rischio di pregiudizio per i diritti degli stessi, oltre ad esistere, sia anche “elevato”, il titolare dovrà fare ancor più attenzione, tanto al contenuto della comunicazione, quanto alle forme.
In primis, la comunicazione deve descrivere la natura della violazione e quindi dovrà essere specificato se si è di fronte ad una violazione della riservatezza, quando si è verificata una divulgazione dei dati personali o accessi non autorizzati/accidentali.
Se, diversamente, si tratta di una violazione dell’integrità, e quindi i dati sono stati modificati in maniera non autorizzata o accidentale; oppure, se è il caso di una violazione della disponibilità, e quindi in tutti quei casi di perdita, distruzione accidentale o dove è compromessa la possibilità di accesso agli stessi, essendo quest’ultima una componente fondamentale della “disponibilità”.
Infatti, è bene ricordare che i dati possono considerarsi disponibili “quando è garantito un accesso ed un uso tempestivo delle informazioni”.
Definita la natura della violazione, vediamo cosa dovrebbe contenere la comunicazione agli interessati e gli strumenti da utilizzare:
- Tempestività: seppur già noto, la comunicazione deve essere assolutamente tempestiva (“senza ingiustificato ritardo”, Art. 34 GDPR). Rimandare una comunicazione non può essere giustificato dal tempo che il titolare impiega per valutare l’effettiva portata della violazione e del rischio. Ritardare il contatto con l’interessato, col solo fine apprendere meglio la magnitudo di quanto accaduto, non sembra una strategia consigliabile posto che, in tale frangente, la magnitudo stessa potrebbe aumentare. A maggior ragione si rimanda a quanto sopra detto, sull’utilità di dotarsi di una procedura che assicuri il rapido flusso di informazioni e che permetta di comprendere la pericolosità dell’evento.
- Descrizione realistica: componente fondamentale è poi la descrizione, con linguaggio chiaro e semplice, evitando “riduzionismi”, delle probabili conseguenze della violazione sull’interessato stesso. La finalità della comunicazione non è quella di “rassicurare” l’interessato, ma di portarlo a conoscenza dell’effettivo rischio che sta correndo; omettere la reale entità della violazione che è stata subita, per non ledere l’immagine pubblica o la fiducia degli interessati, rischia di compromettere maggiormente la situazione.
- I consigli: il titolare “dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione” (Cfr. “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679″ del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018) Pertanto, la comunicazione dovrà essere corredata da consigli tecnici sui rimedi, adottabili direttamente dall’interessato, per mitigare le conseguenze dannose della violazione (es. il cambio di credenziali, cambio del sistema di autenticazione, cambio di credenziali analoghe in servizi diversi).
- Efficacia della comunicazione: la comunicazione agli interessati va inviata in maniera efficace, quindi evitando di inserirla insieme ad altro materiale quale newsletter, pubblicità o in forme che non permettano di distinguere la diversa finalità del contatto. Ad esempio, mail, messaggistica sms, web banner, sono tutti strumenti idonei ed è sempre da valutare l’opportunità di utilizzarne più di uno anche in considerazione della modalità utilizzata normalmente dal titolare per contattare gli interessati. Su questo punto, è il titolare l’unico a poter individuare, avuto conto dei sistemi utilizzati di solito e del rapporto che c’è con gli interessati, quale possa essere il meccanismo più idoneo. Un errore da non fare è quello di utilizzare come strumenti di comunicazioni, i dati che si ritengono violati. Ad esempio, se la violazione ha ad oggetto la diffusione di indirizzi mail, andrà trovato uno strumento alternativo, anche chiedendo consiglio all’Autorità stessa, che permetta una comunicazione efficace, ossia che giunga direttamente all’interessato, e non intercettabile da un ipotetico “violatore”. (Cfr. Garante Privacy, Provvedimento 30 aprile 2019 sul data breach di Italiaonline). Potrebbe essere molto utile, ad esempio, aprire un canale di comunicazione proprio con la specifica finalità di comunicare la violazione.