Quando notificare una violazione di dati personali
Considerato il continuo susseguirsi di notizie su furti di dati, attacchi hacker e divulgazioni di database che possono compromettere più o meno gravemente la riservatezza, la correttezza e la disponibilità di dati personali, si ritiene opportuno precisare come un’organizzazione, sia privata che pubblica, debba comportarsi in caso di “data breach”.
Per “data breach” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Sull’argomento Andrea Chiozzi, Amministratore Delegato di PrivacyLab, ha affermato che “il primo dovere per i titolari e i responsabili dei trattamenti, vale a dire per le aziende e gli enti che intervengono nel processo di trattamento dei dati personali, è quello di accertarsi che quanto accaduto rappresenti effettivamente una violazione. Ricostruire e descrivere il più correttamente possibile l’accaduto in base alle informazioni in nostro possesso diventa quindi il passaggio preliminare a qualsiasi altra azione successiva.
Solo una corretta identificazione del data breach potrà aiutarci a compiere il secondo passo: stabilire quanto la violazione sia stata grave e quali sono le azioni correttive che dovremo intraprendere.”
In caso di incidente, infatti, è molto frequente sottovalutare o sovrastimare l’importanza di quanto accaduto e ciò compromette l’esecuzione delle corrette operazioni. Di fatto alcuni data breach necessitano solamente di essere registrati mentre altri possono far scattare l’obbligo di notifica all’Autorità Garante per la protezione dei dati personali.
Il GDPR disciplina i data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.
Questi casi comprendono sostanzialmente quelle violazioni che possono avere importanti ripercussioni sugli individui, causando potenzialmente delle limitazioni delle libertà personali o altri danni fisici e morali.
Il criterio dirimente per valutare la necessità di avviare o meno una procedura di notifica è la probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui.
Appurato il rischio conseguente dalla violazione, gli artt. 33 e 34 del GDPR indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.
In particolare la notifica di eventuali violazioni di dati dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuti a conoscenza della violazione. L’eventuale ritardo dovrà essere motivato.
La notifica dovrà:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze delle violazioni dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.
Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a comunicare la violazione all’interessato senza ingiustificato ritardo. La predetta comunicazione dovrà descrivere con linguaggio semplice e chiaro la natura della violazione.
Tale comunicazione non è richiesta se:
- il titolare del trattamento ha messo in atto le misure tecniche ed organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
- Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
È fondamentale in ogni caso ricordare come la gestione delle violazioni di dati, e comunque l’intero Regolamento Europeo sul trattamento dei dati, si basino sul concetto di prevenzione (accountability). Viene dunque richiesto di avere un atteggiamento proattivo e verificare, ancor prima di trattare dati personali, che gli strumenti e le procedure utilizzate nella gestione dei predetti dati siano adeguati secondo il principio di privacy by design e by default.