GESTIONE DEI DATA BREACH

Il Gruppo di lavoro Art. 29 è una istituzione che esamina le modalità di applicazione del regolamento GDPR ai fini pratici, affrontando di volta in volta le varie tematiche.
In particolare già da tempo (ottobre 2017) ha emesso alcune linee guida su come affrontare un data breach e relativa notifica.

Il GDPR disciplina il data breach prevedendo l’obbligo di notifica in presenza di violazioni di dati personali.
Il Codice privacy in Italia ha introdotto uno specifico obbligo di notifica dei data breach per i fornitori di servizi di comunicazioni mentre per altri settori (dati biometrici, dossier sanitario e pubbliche amministrazioni) sono previsti provvedimenti del Garante privacy.
Il nuovo Regolamento attribuisce alla notifica una valenza generale legata alla tutela degli interessati estendendo tale obbligo alla totalità dei Titolari.

Il criterio per valutare la necessità di una procedura di notifica è basato sulla probabilità che la violazione possa porre a rischio (per la notifica alla sola autorità) o ad elevato rischio (per la comunicazione anche agli interessati) le libertà e i diritti degli individui di cui trattiamo i dati. Appurato il rischio gli art. 33 e 34 del GDPR indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.

Le linee guida in riferimento agli articoli citati permettono di soddisfare una serie di dubbi circa la loro comprensione per predisporre corrette procedure di notificazione.

DUBBIO 1: Quando il titolare è ritenuto “a conoscenza” di una violazione?

L’art. 33 impone al Titolare di notificare la violazione entro 72 ore dal momento in cui ne viene a conoscenza.
Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.
Le linee guida spiegano che debba considerarsi “a conoscenza” il Titolare che abbia un ragionevole grado di certezza in merito al FATTO che un incidente di sicurezza si sia verificato.
Se per alcuni casi è palese, per alcuni potrebbero essere necessarie indagini approfondite.
Durante tale fase di investigazione, il titolare può essere considerato come “privo di un grado di conoscenza”, quindi non far scattare il calcolo per l’obbligo di notifica.
Il Gruppo sottolinea che il diligente comportamento del titolare sarà valutato sulla base della tempestiva attivazione, senza che la fase investigativa venga utilizzata come scusante per prorogare il termine di notifica.

DUBBIO 2: I ruoli

Le raccomandazioni del Gruppo, con riferimento alla struttura organizzativa e al ruolo del responsabile del trattamento in caso di data breach, impongono di fatto ai titolari di predisporre un piano di sicurezza che evidenzi le procedure interne da adottare in caso di violazioni e l’organigramma dei soggetti a cui è necessario fare riferimento per riportare il fatto, perché secondo l’art. 33 dispone l’obbligo in capo al Responsabile di informare tempestivamente il Titolare dell’avvenuta violazione.
Vist0 il rapporto che lega le figure (Titolare e Responsabile), il Titolare sarà a conoscenza della violazione nel momento in cui il Responsabile ne è venuto a conoscenza.
Non è ammessa alcuna dilazione temporale nelle comunicazioni tra queste due figure, perché uno estensione dell’attività dell’altro, facendo scattare automaticamente l’obbligo di notifica.

Le linee guida permettono anche il caso in cui il Responsabile, sulla base di autorizzazione del Titolare (scritta), possa eseguire la notifica per conto di quest’ultimo.
In ogni caso, compresa la notifica da parte del Responsabile, le responsabilità nei confronti dell’autorità e degli interessati rimangono comunque in capo al Titolare.

DUBBIO 3: Qual è l’autorità di controllo competente?

L’art. 33 riporta che la notifica deve essere fatta all’autorità di controllo competente prevista dall’articolo 55, che a sua volta prevede che l’Autorità di controllo è competente per il territorio del proprio Stato membro. Ne consegue che la violazione che si verifica in un determinato Stato membro, sarà notificata all’autorità garante di quello Stato. Ma cosa succede se il trattamento dei dati va oltre i confini nazionali?
Ad esempio una violazione può compromettere i diritti e le libertà di cittadini situati in diversi Paesi. Overificarsi in una filiale di una multinazionale, ma comportare, indirettamente o direttamente, conseguenze per le altre. O ancora essere una violazione su server (es: Repository online) dislocati su territori di altri Stati.
In questo caso il Gruppo chiarisce che esisterà un’ “Autorità capofila”, prevista dall’art. 56.
Fermo restando quanto previsto dall’art. 55, in caso di trattamenti transfrontalieri si considera Autorità capofila (di riferimento anche in caso di notifica) l’autorità garante situata nello Stato membro presso cui si trova lo stabilimento principale o l’unico stabilimento del titolare o del responsabile.
Il Titolare è libero di notificare la violazione a tutte le Autorità, ma risulterà legittima anche la sola notifica con riferimento all’Autorità capofila.

DUBBIO 4: Come comportarsi quando non si dispone di sufficienti informazioni sulla violazione

La notifica ha la funzione di allertare e consentire la predisposizione di misure di tutela. Fondamentale quindi la sua tempestività.
Il Gruppo di lavoro chiarisce come il GDPR, qualora non si sia in possesso di tutti gli elementi per effettuare una descrizione completa dell’infrazione, mette a disposizione alcuni strumenti per effettuare la notifica in maniera comunque tempestiva:

• utilizzo dell’“approssimazione”: Il Titolare non ancora in grado di conoscere il numero di persone e di dati personali interessati può comunicare in prima battuta un ammontare approssimativo, provvedendo a specificare il numero esatto dopo gli accertamenti.
• “notificazione in fasi”: Il titolare potrebbe non essere in grado di fornire tutte le informazioni. Potrà quindi effettuare una prima rapida notifica di alert, e integrare le informazioni per fasi successive, aggiornando l’autorità sull’evoluzione.
• “notifica differita”: È il caso in cui si possono motivare le ragioni del ritardo (GIUSTIFICABILE, quindi dimostrabile e sostenibile) per cui il titolare è autorizzato ad eseguire una notifica oltre il termine di 72, ma comunque nel più breve tempo possibile. È sempre preferibile (opinione personale) però procedere ad una notifica “in fasi”.

DUBBIO 5: Quali sono le modalità di comunicazione all’interessato

Oltre agli obblighi di notifica all’autorità l’art. 34 prevede un obbligo di comunicazione agli interessati, legato però al superamento della soglia di rischio: è sufficiente un rischio semplice per il dovere di notifica, è necessario un rischio “elevato” per attivare quello di comunicazione. Per verificare i casi di RISCHIO elevato faccio riferimento alle tecniche utilizzabili per la valutazione, già affrontate nella lezione 7 (CLICCA QUI PER TORNARE ALLA LEZIONE 7).

Ma l’adeguatezza della comunicazione è determinata anche dalle modalità di esecuzione. Le linee guida, basandosi sull’art. 34, privilegiano le modalità di comunicazione diretta (email, SMS), tranne nel caso la segnalazione diretta richieda sforzi sproporzionati; in tal caso potrà essere effettuata attraverso una comunicazione pubblica (sito internet, stampa, ecc).
Il messaggio deve essere comunicato in maniera evidente e trasparente, evitando di inserire “un paragrafo” nelle informazioni generali o newsletter e tenere presente la lingua e la cultura dei destinatari.

DUBBIO 6: Come valutare il rischio conseguente a un data breach

La corretta valutazione dei possibili rischi è un passaggio importante perché oltre a valutare la portata del problema permette di valutare la necessità di attivare le procedure di comunicazione e di notifica (che come detto sopra si attivano solo al superamento di determinate soglie di rischio).
Rispetto alla DPIA (Data Protection Impact Assessment), la valutazione di data breach ha uno scopo più mirato: non si valutano conseguenze potenziali ma le concrete conseguenze della violazione:

• tipo di violazione e natura dei dati violati (es. violazione di riservatezza, di accessibilità o di integrità dei dati; dati sanitari, documenti di identità o numeri di carte di credito);
• la facilità con cui potrebbero essere identificati gli interessati (es. l’aggressione riguarda dati identificativi o dati personali non direttamente identificativi; era previsto l’utilizzo di tecniche di pseudonimizzazione o crittografia);
• la gravità delle conseguenze sugli individui in termini di potenziali danni (es. i dati sono stati inviati erroneamente a un fornitore di fiducia o sono stati sottratti da un terzo sconosciuto);
• speciali caratteristiche e numero degli individui interessati (es. bambini o anziani; violazione massiccia o individuale);
• particolari caratteristiche del titolare (es. ambito di attività economico o sanitario; contatto frequente con dati sensibili).

Le formule però per l’analisi del rischio, a parte i differenti fattori di valutazione, sono le stesse riportate nel capitolo 7 (CLICCA QUI PER TORNARE ALLA LEZIONE 7).

Una volta definito il livello di rischio il Titolare potrà determinare le successive azioni (notifica all’autorità e/o la comunicazione agli individui interessati).

es. 1: una media company perde il temporaneo accesso agli indirizzi email dei propri clienti a causa di un blackout o di un ransomware, recuperando nell’arco idoneo la disponibilità degli stessi, senza sottrazione o diffusione. Non sarà necessario procedere nè alla notifica, nè alla comunicazione.
es. 2: la temporanea perdita di accesso ai dati sanitari dei pazienti di un ospedale, che compromette l’erogazione di cure e mette in rischio la salute delle persone, deve essere considerato un evento che pone a rischio (elevato) i diritti degli individui e dovrà essere notificato e comunicato.
es. 3: lo smarrimento o il furto di un CD, di una chiavetta USB, o di un portatile contenente dati va valutato a seconda che siano criptati (protetti e decifrabili solo dal proprietario) o non criptati. La scelta quindi “a monte” delle soluzioni di mitigazione diventa sensibile quindi per la determinazione delle conseguenze di un data breach.