L’istituto della notifica agli interessati delle violazione dei dati personali previsto all’art. 33 del GDPR mai come adesso assume una veste garantistica per i diritti e le libertà degli interessati, e che pertanto richiede una pianificazione strutturata del contenuto e delle modalità con cui la stessa raggiunge i destinatari interessati dal data breach, al fine di rendere gli stessi non destinatari passivi della notifica, ma parte integrante del piano di risposta.
Indice degli argomenti
La notifica di data breach da parte del titolare del trattamento
Al fine di capire meglio quale sia la ratio garantista sottesa all’istituto innanzi menzionato, si richiama qui quanto disposto dal Considerando 86 del GDPR il quale sancisce che “Il titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie”.
Assumono rilevanza in tal senso sia le tempistiche (“senza indebito ritardo”), sia le condizioni (“qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica”), sia le finalità (“al fine di consentirgli di prendere le precauzioni necessarie”).
Da una lettura combinata con il Considerando 88 potremmo anche sottolineare l’importanza delle modalità con cui il data breach è portato a conoscenza degli interessati (“Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d’identità o altre forme di abuso”).
La logica sottesa è infatti quella secondo cui il titolare è tenuto a fare quanto è in suo potere per mitigare quanto più possibile le conseguenze del fatto sui diritti e le libertà delle persone fisiche, ivi compreso utilizzare l’istituto della notifica all’interessato come strumento strategico, pianificando con cura messaggio, tempistiche e modalità di comunicazione per rendere l’interessato stesso parte integrante del piano di risposta, e permettere a quest’ultimo di adottare egli stesso gli accorgimenti necessari per ridurre il livello di rischio potenziale.
Ma procediamo con ordine.
Adempimenti GDPR nei confronti degli utenti coinvolti da data breach
Come sopra anticipato, il titolare del trattamento deve effettuare la comunicazione della violazione dei dati personali al soggetto interessato “senza ingiustificato ritardo” ai sensi dell’art. 34 del GDPR. Tuttavia, vi è l’obbligo di effettuare la presente comunicazione solo laddove sussiste un “rischio elevato per i diritti e le libertà delle persone fisiche”.
Occorre sapere che tale comunicazione non sempre è prescritta.
Infatti, l’articolo 34 citato prevede espressamente i casi nei quali la medesima comunicazione non è richiesta, allorquando:
- il titolare del trattamento ha adottato una politica generale per cui tutta la sua struttura aziendale si configura già compliance rispetto al GDPR, con la predisposizione di “misure tecniche e organizzative” di tutela dei dati personali violati (es. la cifratura, volta a rendere i dati personali illeggibili a soggetti non autorizzati ad accedervi);
- il titolare del trattamento ha adottato tali misure successivamente, proprio per evitare il verificarsi dell’evento dannoso;
- la comunicazione richiederebbe sforzi sproporzionati. In tale ipotesi, è prescritta una comunicazione pubblica o comunque una misura idonea ad ottenere il medesimo effetto di conoscenza reale verso tutti utenti coinvolti.
La sussistenza dell’obbligo di notifica di data breach
Per determinare il livello “elevato” di rischio per le libertà e i diritti degli interessati, il Gruppo di Lavoro Articolo 29 per la Protezione dei Dati, sostituito dal Comitato europeo per la protezione dei dati (EDPB), ha determinato alcuni criteri specifici:
- il tipo di “breach”, poiché, ad esempio, la violazione dei dati sanitari dei pazienti di un intero complesso ospedaliero è evento indubbiamente più rilevante rispetto alla perdita dei dati sanitari di un singolo paziente;
- la natura, numero e grado di sensibilità dei dati personali violati;
- la facilità di associare i dati violati ad una persona fisica;
- la gravità delle conseguenze per gli interessati:(es. furto identità);
- il numero di interessati esposti al rischio;
- le caratteristiche del titolare del trattamento: un data breach all’interno di una piccola realtà aziendale è diverso da quello subito da un grande complesso ospedaliero.
Nella determinazione del rischio, altresì rilevanti sono i Considerando 75 e 76 del Regolamento 2016/679 GDPR, secondo cui occorre considerare la probabilità nonché la gravità dei rischi per i diritti e le libertà degli interessati; si legge, altresì, come tali rischi debbano essere determinati in modo oggettivo.
La comunicazione ai soggetti interessati dal data breach
Come sopra anticipato contenuto e modalità di comunicazione all’interessato assumono un ruolo strategico in questa fase.
Al fine di poterne comprendere al meglio la portata, non possiamo esimerci dal citare il provvedimento del Garante per la privacy italiano del 30 aprile 2019 (doc. web n. 9116509) ove viene sottolineata l’inconsistenza e la scarsa utilità di una comunicazione generica, per le ragioni che appresso andremo a illustrare.
Innanzitutto l’ art. 34, par. 2, del Regolamento sancisce che “la comunicazione all’interessato … descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni di cui all’articolo 33, paragrafo 3, lettere b), c) e d)“, vale a dire “il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; le probabili conseguenze della violazione dei dati personali; le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negative”.
A ben vedere, la principale caratteristica della comunicazione è il suo contenuto specifico. Essa difatti non può essere generica, ma deve contenere le informazioni necessarie per consentire alle persone di comprendere il rischio e proteggere i loro dati.
Nel caso di specie, “le analisi tecniche avevano confermato l’avvenuto accesso fraudolento tramite hotspot della rete wi-fi. Veniva accertata la violazione di circa 5 milioni di credenziali di account di posta Libero e Virgilio di utenti che avevano effettuato l’accesso tramite web mail”.
Tuttavia nell’istruttoria condotta dal Garante accertava che “nella comunicazione inviata agli interessati che dopo la violazione avevano effettuato il cambio della password nelle 48 ore precedenti l’invio della comunicazione, l’avvenuta violazione viene descritta come “attività anomala sui sistemi” e non viene suggerita alcuna azione correttiva, evidenziando al contempo che l’operazione di cambio della password ha reso “inutilizzabili le credenziali precedenti ritenute non più sicure” e che “nella comunicazione inviata agli interessati che dopo la violazione non avevano ancora provveduto ad effettuare il cambio della password nelle 48 ore precedenti l’invio della comunicazione, l’avvenuta violazione viene descritta come “attività anomala sui sistemi” e viene esclusivamente suggerito, quale azione correttiva, il cambio della password al prospettato fine di “eliminare il rischio di accesso indesiderato alla […] casella mail“.
La suddetta notifica non veniva però ritenuta soddisfacente da parte del Garante, in quanto la valutazione dei rischi sottesa alla presente notifica avrebbe dovuto contenere una analisi più dettagliata e specifica per il caso concreto.
Il titolare in tal caso non aveva tenuto di conto della probabilità che le medesime credenziali potevano essere state utilizzate per accedere anche ad altri servizi online. Si capisce quindi che una generica comunicazione circa una “attività anomala sui sistemi” unitamente ad un semplice invito a cambiare la password per l’accesso a quel servizio, non consentiva agli interessati di capire appieno le possibili conseguenze di quel data breach, dalle quali avrebbe potuto proteggersi al meglio solo estendendo la modifica della password anche a tutti gli altri portali e servizi online presso i quali aveva fatto utilizzo delle medesime credenziali di accesso.
Si apprezza a pieno pertanto quanto riportato nelle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679″, le quali suggeriscono al titolare del trattamento, al fine di far fronte alla violazione e attenuarne i possibili effetti negativi per gli interessati, di ” fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione” in considerazione del fatto che l’obiettivo principale della comunicazione agli interessati consiste nel fornire loro informazioni specifiche sulle misure che gli stessi possono prendere per proteggersi”.
Modalità e termini della comunicazione di data breach accertato
Quanto alle modalità con cui effettuare la comunicazione, il Garante per la privacy ricorda che “le Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679″, raccomandano al titolare del trattamento, nella definizione delle modalità di contatto, di “scegliere un mezzo di comunicazione che massimizzi la possibilità di comunicare correttamente le informazioni a tutte le persone interessate”, con particolare riguardo all’eventuale utilizzo di “un canale di contatto compromesso dalla violazione“.
Ciò significa che deve essere utilizzato un canale se possibile diverso da quello violato, affinché la comunicazione abbia esito positivo, raggiungendo il maggior numero di interessati.
Per la comunicazione della violazione dei dati personali a tutti i soggetti coinvolti è previsto un termine preciso, ossia, “senza ritardo e comunque entro 30 giorni dalla data di ricezione del provvedimento di risposta del Garante”.
Concluse le attività relative a tali comunicazioni decorre un ulteriore termine di 7 giorni per informare l’Autorità delle iniziative poste in atto per arginare la situazione di rischio. Anche tale comunicazione è importante poiché in caso di mancato riscontro all’autorità è prevista la sanzione amministrativa ai sensi del combinato disposto di cui agli artt. 83, par. 5, lett. E del Regolamento e 166 del Codice.
Conclusioni
Alla luce della disciplina illustrata in tema di “data breach” contenuta negli artt. 33 e ss. del Regolamento europeo sulla notificazione all’Autorità di controllo per il trattamento dei dati personali e comunicazione agli interessati emerge l’importante e centrale ruolo del titolare del trattamento dei dati, il quale è chiamato ad osservare con molta cura la procedura descritta.
I data breach sono sempre più frequenti e mai come oggi il tema risulta così attuale, tanto che con il provvedimento dell’aprile scorso il Garante per la privacy è intervenuto nuovamente ad arricchire la materia, integrando e confermando, con i plurimi richiami, la disciplina contenuta nelle Linee guida del Regolamento Europeo 2016/679 (GDPR).
Come nel caso esaminato dal Garante per la privacy, molto spesso ci troviamo di fronte a situazioni in cui notevoli quantità di dati personali vengono illecitamente sottratti, passando nella disponibilità di soggetti malintenzionati.
Per tale motivo, quanto mai necessaria risulta l’attenzione da parte dei singoli titolari del trattamento di dati personali alle regole dettate dal GDPR al fine di garantire una tutela effettiva di protezione per i diritti e le libertà essenziali di tutti gli utenti.
E nell’ottica di fornire una tutela più completa possibile per gli utenti, si pone la previsione secondo cui la comunicazione all’interessato deve essere non generica, bensì specifica e tale da ricomprendere altresì una consulenza appositamente studiata e calibrata sulle esigenze di tutela di quella specifica categoria di interessati.