La recente irrogazione (marzo 2020) di sanzioni (circa 1.300 e 6.000 euro) a due comuni danesi che hanno notificato come da GDPR al loro garante nazionale altrettante violazioni dei dati personali anche particolari dei rispettivi residenti conseguenti al furto di PC non protetti da crittografia, suggerisce alcune considerazioni concernenti le criticità del conflitto di interessi insorgente tra titolare del trattamento e Autorità di controllo in situazioni analoghe.
L’accadere di un evento di violazione dei dati personali (data breach) comporta l’obbligo per il titolare del trattamento di valutare se la violazione comporti un rischio elevato per i diritti e le libertà fondamentali degli interessati.
Ove tale valutazione porti a constatare un tale rischio, sorge per il titolare l’obbligo di notificare ai sensi dell’art 33 GDPR il data breach all’Autorità di controllo competente, che a propria volta sarà tenuta a compiere un’analisi delle circostanze notificate.
Indice degli argomenti
Un potenziale conflitto di interessi
Le violazioni notificate potrebbero essere interpretate dall’Autorità di controllo come una manifestazione di alcune delle possibili conseguenze dell’insufficiente livello di sicurezza applicato ai dai personali violati, tale da comportare un rischio elevato per gli interessati e quindi l’Autorità ha facoltà di proporre sanzioni a carico del titolare, per inosservanza dell’obbligo di garantire un’adeguata protezione dai dati personali oggetto di trattamento.
È ben vero che il suddetto meccanismo innesca un potenziale conflitto di interessi tra il titolare del trattamento e l’Autorità di controllo.
In particolare, il titolare, allorché proprio a seguito della violazione dei dati personali in cui sia incorso si avveda di avere implementato misure tecniche e organizzative di sicurezza palesemente non idonee allo scopo di protezione del trattamento dei dati personali violati, previsto dal GDPR, potrebbe essere indotto a tacere il data breach (correndo il rischio di subire una sanzione, ma confidando nella scarsa probabilità statistica di ispezioni d’ufficio dell’Autorità) piuttosto che autodenunciarsi all’Autorità.
La notifica, infatti, comporta l’apertura di un’istruttoria molto accurata, che altrimenti si può evitare.
In tal modo, tuttavia, il titolare si espone al pericolo che la notizia del data breach pervenga in ogni caso all’Autorità di controllo direttamente da parte degli interessati che ne vengano a conoscenza al di fuori di una comunicazione indirizzata agli stessi dal titolare del trattamento.
Questa ipotesi espone il titolare ad un approccio certamente più severo da parte dell’Autorità di controllo, posto che quest’ultima non potrebbe non tenere conto del comportamento doloso del titolare diretto ad occultare il data breach in violazione dell’obbligo di trasparenza.
Ciò si rifletterebbe automaticamente sul quantum della sanzione applicata dall’Autorità di controllo. A un atteggiamento oggettivamente non collaborativo del titolare corrisponderà una sanzione maggiore.
Il GDPR si limita a stabilire (art. 83 co. 2 lett. f) che le sanzioni possono sempre tenere conto, tra l’altro, del comportamento dei titolari del trattamento successivo al verificarsi della violazione dei dati personali, ovvero del “grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi”.
Nelle due fattispecie in esame, non è noto se alla luce dell’avvenuta notifica del data breach, l’Autorità danese abbia attribuito una qualche rilevanza attenuante alla inequivoca volontà dei titolari del trattamento di coinvolgerla anziché di non palesare pubblicamente l’accaduto.
Cioè se – a parità di ogni altra circostanza relativa al concreto data breach – la sanzione decisa avrebbe potuto essere eventualmente maggiore di quella irrogata. Non si esclude peraltro che la natura pubblica dei titolari inadempienti sia risultato un criterio preminente per indirizzare la determinazione del quantum, a prescindere da ogni altra attenuante inclusa la stessa notifica.
Notifiche di data breach ai tempi del Covid-19: quali approcci
Resta comunque una forte perplessità di fondo sul combinato disposto del meccanismo normativo notifica-sanzione previsto dagli articoli 33 e 83 GDPR, ove la conseguenza pregiudizievole in capo a chi notifichi il data breach pur nella consapevolezza del fatto che lo steso sia l’effetto anche di qualche carenza delle misure, non venga opportunamente temperato da un approccio meno formalistico dell’Autorità di controllo diretto a valorizzare, per quanto possibile, i poteri – diversi da quelli sanzionatori – esercitabili in tal caso verso il titolare o verso il responsabile del trattamento che ha optato per una piena collaborazione dopo il data breach.
L’Autorità danese, ad esempio, non ha esercitato i poteri prescrittivi che pure sono previsti dal GDPR a fronte della ricezione delle notifiche di data breach.
In alternativa alla diretta irrogazione della sanzione, infatti, l’Autorità avrebbe in teoria potuto adottare un approccio collaborativo, sostanziale e meno severo, in particolare (art. 59 co. 2 lett. d) GDPR) ingiungendo ai titolari l’obbligo di adeguare le misure di protezione dei trattamenti di dati personali coinvolti nel data breach, assegnando un breve termine e riservandosi di irrogare la sanzione amministrativa pecuniaria solo ove la successiva verifica avesse confermato l’inosservanza.
L’ auspicio dell’adozione, da parte delle Autorità di controllo, almeno italiana, di un atteggiamento diverso e più elastico verso i titolari e responsabili che effettuano notifiche di data breach, diventa invocazione nel momento in cui le imprese nella UE si trovano ad affrontare anche l’emergenza Covid-19 e i nuovi investimenti ad esso conseguenti.
