La notifica di data breach rappresenta, prima di tutto, l’adempimento di un mero obbligo normativo: l’art. 33 del GDPR impone infatti ai titolari del trattamento che vengano a conoscenza di una violazione di dati personali (anche, “data breach”) di notificarla all’Autorità di controllo competente – in Italia, il Garante Privacy – senza ingiustificato ritardo e, in ogni caso, entro 72 ore dalla scoperta della stessa.
Tale procedimento deve essere supportato dalla tenuta, da parte dei titolari del trattamento, del cosiddetto “registro delle violazioni”: un documento che ha la duplice funzione di consentire, al titolare, un agevole monitoraggio e controllo di tutte le violazioni di dati personali avvenute nel corso delle proprie attività di trattamento e, al Garante Privacy, di verificare il rispetto dell’obbligo di notifica tempestiva.
Indice degli argomenti
Inquadramento generale e scopo della notifica di data breach
In realtà, la notifica di data breach assume valore all’interno di un più generale procedimento di gestione del rischio che il titolare è tenuto a compiere nel contesto delle proprie attività di trattamento.
Come infatti chiarito anche dal Gruppo di lavoro ex art. 29 (“WP29”) – oggi integralmente sostituito dall’EDPB (European Data Protection Board, cioè il Comitato europeo per la protezione dei dati personali) – tale notifica consente al titolare, spesso in collaborazione con l’Autorità garante, di assumere reale contezza della violazione e, conseguentemente, di valutare in maniera ponderata l’effettiva necessità di comunicare, o meno, la violazione stessa anche alle persone fisiche interessate, nel rispetto di quanto previsto dall’art. 34 del GDPR.
Obbligo, quest’ultimo, applicabile esclusivamente nei casi in cui la violazione sia “suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
È quindi importante rimarcare che, all’interno del nuovo quadro normativo europeo, il dispositivo dell’art. 33 GDPR ha la precipua funzione di incoraggiare il titolare del trattamento ad agire prontamente in caso di data breach, al fine di contenerne gli sviluppi ed i potenziali danni – di natura economica e/o reputazionale – e, se possibile, di recuperare i dati personali compromessi, sottratti o smarriti.
Le notifiche di data breach effettuate in Europa
Secondo quanto comunicato dall’International Association of Privacy Professionals (anche, “IAPP”) e confermato dall’EDPB all’interno del documento “1 year GDPR – taking stock” pubblicato sul proprio sito istituzionale, il numero di notifiche di data breach registrate dalle Autorità per la protezione dei dati personali di tutta Europa al 25 maggio 2019 è di circa 89.000.
Nello specifico, l’infografica e il White Paper diffusi dallo IAPP nel corso del mese scorso (“White Paper – GDPR at One Year: What We Heard from Leading European Regulators”) – preparati con il contributo di importanti esponenti delle Autorità europee – hanno rilevato come la maggior parte delle comunicazioni di data breach siano state effettuate in Germania (circa 15.000), nel Regno Unito (circa 14.000) e nei Paesi Bassi (circa 12.000). Seguono poi l’Irlanda, con circa 3.000 notifiche e la Francia, ferma a 1.100.
Un caso di rilievo, tuttavia, è quello del Regno Unito, in cui l’Information Commissioner’s Office (anche, “ICO” – i.e. l’Autorità garante per la protezione dei dati personali UK) ha rilevato, da un lato, che nel corso del 2018 il numero di notifiche pervenute è cresciuto esponenzialmente (un anno prima le notifiche erano ferme a 3.000), e dall’altro, che tra queste meno dello 0,5% ha condotto a sanzioni pecuniarie a carico del notificante ed alla necessità, per il titolare, di adottare misure per porre rimedio alla violazione e/o per attenuarne i possibili effetti negativi.
Un dato, quello del Regno Unito, che rileva per essere sicuramente il frutto di una spiccata proattività della sua Autorità garante, oltre che il massimo esempio di come ad una cultura giuridica radicata e ad una diffusa consapevolezza circa i diritti e i doveri delle imprese corrisponda, per via diretta, una più efficace ed efficiente gestione degli adempimenti imposti dalla legge, ivi incluso quello della notificazione dei data breach.
In Italia, invece, il Garante Privacy ha comunicato di aver ricevuto solo 946 comunicazioni di data breach.
Tali notifiche sono pervenute sia da soggetti pubblici (nel 27% dei casi) che da soggetti privati (nel 73%) e le tipologie più frequenti di violazione hanno riguardato gli attacchi informatici volti all’acquisizione di dati personali (quali credenziali di accesso, indirizzi e-mail, numeri di telefono o dati relativi a strumenti di pagamento), la diffusione di virus di tipo ransomware, lo smarrimento o furto di dispositivi digitali o documenti cartacei e la comunicazione o diffusione accidentale di dati personali.
Un numero di notifiche, quello italiano, che se paragonato con quanto visto in precedenza risulta nettamente minore rispetto al resto dei Paesi europei e che lascia intendere come (probabilmente) all’interno del nostro paese siano ancora oggi molti i casi in cui le violazioni di dati personali non vengono notificate al Garante Privacy: un dato, quindi, che è necessario sollevi alcune riflessioni.
La notifica di data breach: il caso italiano
Mancanza di cultura, di conoscenza o di consapevolezza in merito alle obbligazioni introdotte dal nuovo quadro normativo europeo? Carente o non corretta strutturazione di policy interne e/o organigrammi privacy in grado di condurre ad una efficace ed efficiente valutazione e analisi dei rischi alla base dell’obbligo di notifica? Difficoltà nel comprendere il significato di “violazione di dati personali” ai sensi del GDPR e di individuarne la reale portata? O, ancora, semplice timore di ispezioni, verifiche, controlli e/o ripercussioni sanzionatorie da parte del Garante Privacy successivamente all’intervenuta notifica?
Le cause dell’evidenziata differenza quantitativa di notifiche tra Italia e resto d’Europa potrebbero essere plurime e disparate, ma sicuramente sono interconnesse tra loro: analizziamone alcune.
In primo luogo, è innanzitutto interessante notare che, stando a quanto comunicato dalla Commissione Europea sul proprio sito istituzionale relativamente ai sondaggi condotti all’interno dell’UE e riportati nell’Eurobarometro 487a di Marzo 2019, la cultura in tema di protezione dei dati personali e la conoscenza della nuova normativa vigente appare essersi notevolmente diffusa, oltre che consolidata, in molti Paesi, non solo a livello istituzionale bensì anche tra i cittadini.
Il sondaggio sopracitato, infatti, riporta una crescita di oltre 20 punti percentuali rispetto ai risultati ottenuti dai sondaggi del 2015.
Relativamente al GDPR, oltre il 67% dei cittadini dell’UE intervistati hanno dichiarato di averne sentito parlare e il 36% di loro ha dichiarato di essere ben consapevole di ciò che il Regolamento comporta per le imprese e i titolari del trattamento.
Inoltre, il 57% dei cittadini dell’UE ha dichiarato di essere a conoscenza dell’esistenza, nel proprio paese, di un’autorità pubblica responsabile della vigilanza e della corretta applicazione della normativa privacy.
Secondo il rilevamento, i Paesi dove i cittadini sono più informati sono la Svezia (90%), l’Olanda (87%) e la Polonia (86%); l’Italia, tuttavia, non spicca in classifica: siamo al penultimo posto, davanti solo alla Francia, con il 49% di informazione generale sul GDPR.
Un dato, quello italiano, molto allarmante e che conduce ad una inevitabile doppia conseguenza.
Da un lato, ad una ancora molto diffusa percentuale di società italiane che non hanno portato a termine un efficace processo di compliance GDPR e che non sono ancora culturalmente e strutturalmente pronte a rispettare gli obblighi imposti dalla nuova normativa.
Ciò, soprattutto, con riferimento a quegli adempimenti – come la notifica di data breach – che, rispetto ad altri (ad esempio, il rilascio dell’informativa privacy agli interessati e/o la richiesta del consenso al trattamento dei loro dati personali), risultano di più difficile interpretazione e gestione per i titolari del trattamento.
Si parla di interpretazione e gestione in quanto, come ricordato dal Garante Privacy nelle raccomandazioni contenute all’interno della propria “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, la notifica di una violazione trova le proprie radici in un preliminare processo di valutazione del rischio che compete esclusivamente al titolare del trattamento – in forza del più generale principio di “accountability” o responsabilizzazione su cui si fonda l’intero impianto normativo del GDPR – e che, per essere condotto in maniera efficiente, deve necessariamente basarsi su una radicata conoscenza della materia di cui trattiamo.
Dall’altro, la scarsa cultura GDPR nazionale conduce all’inevitabile e diffuso timore che l’effettuazione di una notifica di data breach possa tradursi, nel maggiore dei casi, nel rischio di subire verifiche e ispezioni da parte del Garante Privacy, finalizzate ad acquisire maggiori elementi di valutazione in ordine alla portata, alle cause ed alle conseguenze della violazione stessa.
Si pensi, ad esempio, a quanto accaduto nel recente caso “Uber”, in cui lo stesso Garante Privacy, all’esito delle ispezioni in merito ad un data breach che ha coinvolto milioni di interessati in tutto il mondo, si è riservato di valutare con autonomo procedimento la contestazione alla società delle violazioni amministrative rilevate.
Contrastare il fenomeno della mancata notifica di data breach
Alla luce di quanto detto nei paragrafi precedenti, appare pertanto essenziale adoperarsi per diffondere in Italia una corretta cultura in merito ai rischi ed alle potenziali conseguenze che le violazioni di dati personali possono comportare alle imprese titolari del trattamento.
Ciò, soprattutto, in un periodo storico in cui i più recenti sondaggi riportano un cospicuo incremento del numero di attacchi informatici gravi, che nel corso dell’ultimo biennio è aumentato di circa 10 volte rispetto al precedente – come spiegato dal Rapporto Clusit 2019 dell’Associazione Italiana per la sicurezza informatica, che ha raccolto ed analizzato 1.552 attacchi gravi, evidenziando un aumento del 37,7% rispetto all’anno precedente ed una media di 129 attacchi gravi al mese.
L’obiettivo, pertanto, deve essere ancora una volta quello di non riporre nel cassetto quanto accaduto in Italia nel corso di questi primi 365 giorni di GDPR, bensì di sollevare nel contesto nazionale un serio dibattito che porti ad una più concreta coscienza e conoscenza del fenomeno “data breach”, che riduca il timore di ripercussioni sanzionatorie e che, anzi, possa condurre ad una maggiore interazione con l’Autorità. Come fare?
In primo luogo, occorre intraprendere e portare a termine a livello aziendale progetti di compliance GDPR affidati a veri esperti settore che includano, da un lato, lo studio e lo sviluppo di policy interne e/o di organigrammi privacy in grado di condurre ad una efficace valutazione ed analisi dei rischi alla base dell’obbligo di notifica e, dall’altro, a programmi di formazione aziendali a cadenza almeno annuale che rendano il personale della società edotto in materia di data breach.
Per usare le parole del Garante europeo della protezione dei dati Giovanni Buttarelli, infatti, “occorre pensare che spendere moltissimo per raccogliere i dati e successivamente investire poco per proteggerli è sciocco, oltre che dannoso”.
In secondo luogo, è importante conoscere il modus operandi del Garante Privacy in merito alle notificazioni di data breach ricevute nel corso di questo primo anno di GDPR.
L’Autorità ha chiarito nella propria relazione annuale come nel corso delle ispezioni successive alla notifica “il compito prioritario sia stato quello di individuare prontamente, collaborando con i titolari dei trattamenti coinvolti nelle violazioni dei dati, le misure da adottare idonee a mitigarne gli effetti negativi e valutando altresì l’opportunità della comunicazione della violazione agli interessati, una volta stimata l’entità del rischio per i diritti e le libertà delle persone fisiche”.
Il Garante Privacy, infatti, pare abbia dimostrato in molte occasioni di porsi più in un’ottica collaborativa piuttosto che meramente sanzionatoria.
Da ultimo, sarebbe buona prassi porsi sempre quale obiettivo primario quello di far fronte agli effetti negativi di una violazione comunicando la stessa al Garante Privacy anche in assenza di cifre esatte relative al data breach – ad esempio, il numero esatto di interessati coinvolti.
Il GDPR, infatti, prende atto del fatto che il titolare del trattamento non sempre dispone di tutte le informazioni necessarie in merito ad una violazione entro 72 ore dal momento in cui ne è venuto a conoscenza – dato che non sempre sono disponibili entro tale termine dettagli completi ed esaustivi su un incidente – e consente allo stesso di effettuare una notifica “per fasi”.
Ciò può accadere, ad esempio, laddove si verifichino violazioni complesse, quali alcuni tipi di incidenti di sicurezza informatica nel contesto dei quali, ad esempio, può risultare necessaria un’indagine forense approfondita per stabilire appieno la natura della violazione e la portata della compromissione dei dati personali.
