Cambia la notifica di data breach: con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha infatti introdotto un nuovo modello ufficiale contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).
In precedenza, il Garante aveva già introdotto modalità e requisiti specifici di notifica dei data breach in diversi settori e con il provvedimento in questione il Garante ha provveduto a razionalizzare ed uniformare i termini, i contenuti e le modalità della notifica.
Indice degli argomenti
Come cambia la notifica di data breach
Il GDPR prevede che in caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare tale evento al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Allo stesso modo il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi (artt. 33 e 55 del GDPR, art. 2-bis del Codice Privacy).
A seguito del citato provvedimento 157 l’onerosità di tale notifica è decisamente aumentata, probabilmente anche al fine di permettere al titolare di assumere reale contezza della violazione e, conseguentemente, di valutare in maniera ponderata l’effettiva necessità di comunicare, o meno, la violazione stessa anche alle persone fisiche interessate, nel rispetto di quanto previsto dall’art. 34 del GDPR.
Vediamo quindi come cambia la notifica di data breach.
Per effettuare la notifica il titolare dovrà scaricare il modello disponibile sul sito del Garante e compilare le seguenti sezioni:
- Dati del soggetto che effettua la notifica, inserendo i dati anagrafici e di contatto del soggetto che materialmente effettua la notifica (ove nominato, si tratta del DPO del titolare);
- Dati relativi al titolare del trattamento, in cui andranno inseriti i dati identificativi del titolare (denominazione, C.F./P.IVA, indirizzo ecc.), i dati di contatto del soggetto da contattare per informazioni (ove nominato il DPO andrà indicato il relativo numero di protocollo assegnato dal Garante alla comunicazione dei dati di contatto tramite la procedura online disponibile sul sito) e i riferimenti di ulteriori soggetti coinvolti con indicazione del ruolo svolto (contitolare o responsabile del trattamento , rappresentante del titolare non stabilito nell’UE);
- Informazioni di sintesi sulla violazione, questa è una delle sezioni più critiche in quanto andranno indicate una serie di informazioni di dettaglio relative alla violazione, ivi incluse: la data esatta in cui si è verificata, il momento e le modalità in cui il titolare ne è venuto a conoscenza, i motivi del ritardo in caso di notifica oltre le 72 ore, la natura e la causa del data breach e le categorie di dati personali e soggetti interessati coinvolti, con indicazione dei relativi volumi;
- Informazioni di dettaglio sulla violazione, a completamento della sezione precedente, in questa andranno indicati i dettagli relativi alla violazione descrivendo nello specifico l’incidente alla base del breach, le categorie di dati violate, i sistemi e le infrastrutture informatiche coinvolte nell’incidente, con indicazione della loro ubicazione e le misure di sicurezza tecniche e organizzative adottate;
- Possibili conseguenze e gravità della violazione, si tratta di una sezione che richiede uno sforzo prognostico da parte del titolare il quale sarà tenuto a identificare i possibili impatti della violazione in base alla sua natura ed i potenziali effetti negativi per gli interessati; occorrerà inoltre effettuare una stima motivata della probabile gravità del data breach;
- Misure adottate a seguito della violazione, in cui andranno segnalate tutte le contromisure sia tecniche che organizzative adottate per limitare gli impatti del breach e di futura attuazione onde prevenire incidenti futuri;
- Comunicazione agli interessati, in questa sezione occorrerà specificare se la violazione è stata comunicata o meno agli interessati ai sensi dell’art. 34 del GDPR, ed in caso di mancata comunicazione sarà necessario motivare la ragione che ha spinto il titolare prendere una tale decisione;
- Altre informazioni, si tratta di una sezione di chiusura in cui inserire i dettagli circa l’impatto transfrontaliero del data breach e le eventuali segnalazioni già effettuate ad altre autorità.
Laddove il titolare del trattamento non sia in possesso di tutte le informazioni richieste dal modulo, potrà avviare il processo di notifica pur in assenza di un quadro completo della violazione con riserva di effettuare una successiva notifica integrativa.
Come inviare la notifica di data breach
Il modulo di notifica, una volta completato con le informazioni richieste, deve essere inviato al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritto digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.
È opportuno ricordare che la notifica non deve includere i dati personali oggetto di violazione (ad esempio, non fornire i nomi dei soggetti interessati dalla violazione).
In ogni caso l’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
I prossimi passi
Il nuovo modulo di notifica richiede al titolare di raccogliere una folta serie di informazioni relative alla violazione. Per essere in grado di effettuare la notifica il titolare dovrà pertanto assicurarsi di aver implementato le adeguate procedure organizzative – sia interne che esterne nei confronti dei responsabili – che gli consentano di ottenere in maniere tempestiva tutte le notizie necessarie per compilare effettuare la notifica.
Il procedimento di notifica deve essere supportato dalla tenuta, da parte dei titolari del trattamento, del cosiddetto “registro delle violazioni”: un documento che ha la duplice funzione di consentire, al titolare, un agevole monitoraggio e controllo di tutte le violazioni di dati personali avvenute nel corso delle proprie attività di trattamento e, al Garante Privacy, di verificare il rispetto dell’obbligo di notifica tempestiva.
Questo registro andrà predisposto in linea con i requisiti del modulo di notifica per raccogliere tutte le informazioni necessarie al fine di documentare adeguatamente qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Lo scenario dei data breach in Europa e in Italia
Il provvedimento con cui il Garante privacy ha introdotto il nuovo modello di notifica di data breach è l’occasione giusta anche per ricordare quanto il fenomeno dei data breach sia in costante aumento in Europa.
Il Comitato Europeo per la protezione dei dati ha pubblicato un report[1] sullo stato di implementazione del GDPR a 9 mesi dalla sua piena applicabilità, in cui si rileva che le autorità Garanti in Europa hanno registrato circa 64.684 notifiche di data breach, ed è ragionevole ritenere che dalla pubblicazione del report ad oggi tale cifra sia cresciuta ulteriormente.
In tal senso è significativo quanto espresso dal World Economic Forum, secondo cui gli attacchi informatici sono la maggiore minaccia per le imprese che operano in Europa[2].
Durante gli ultimi anni il nostro continente è stato difatti teatro di una lunga serie di grandi attacchi cyber[3], il cui numero è aumentato di circa un terzo nel primo trimestre 2018, rispetto allo stesso periodo dell’anno scorso.
Tali stime trovano conferma nel rapporto[4] presentato dalla Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) secondo cui, a fronte di un aumento moderatamente significativo del numero di attacchi, si è registrato un incremento esponenziale della efficacia e pericolosità degli stessi.
Nella prima metà del 2018 sono stati compromessi, infatti, circa 4.500 milioni di record a causa delle violazioni di dati, in forte crescita rispetto al 2017 in cui, nello stesso periodo, erano stati registrati «solo» 2,7 milioni di record violati.
Quanto all’Italia, secondo le stime più recenti disponibili, fino al 30 giugno 2019 il Garante ha registrato[5] 1.254 casi confermati di notificazioni di data breach, con un aumento pari a circa il 31% rispetto alle violazioni registrate fino a marzo dello stesso anno.
NOTE
- “First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities“, European Data Protection Board. ↑
- “World Economic Forum, Regional Risks for Doing Business 2018“. ↑
- Basti ricordare il ransomware Wannacry che ha infettato oltre 230.000 computer in 150 paesi, criptando le informazioni private e richiedendo un riscatto in Bitcoin per sbloccarle, o al malware Mirai che ha compromesso oltre 600.000 dispositivi IoT, rendendoli parte di una botnet – una rete di computer infetti – usata per attacchi informatici su larga scala. ↑
- ENISA Threat Landscape Report 2018. ↑
- Bilancio dell’applicazione del GDPR, Garante Privacy. ↑