Un nuovo modello di comunicazione del Data Breach

Il Garante privacy ha introdotto un nuovo modello contenente le informazioni minime necessarie per notificare una violazione di dati personali (data breach).

Ricordando che il data breach è una violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali, che sia accidentale o illecita, riportiamo alcuni esempi delle cause che possono richiedere una comunicazione al Garante:

• l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
• il furto o la perdita di dispositivi informatici contenenti dati personali;
• la deliberata alterazione di dati personali;
• l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
• la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
• la divulgazione non autorizzata dei dati personali.

Cosa prevede il GDPR in caso di data breach?

In questi casi l’obbligo, previsto dal GDPR è quello per cui il Titolare del Trattamento, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Anche il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il Titolare in modo che possa attivarsi.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il Titolare deve comunicarla a tutti gli interessati. Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951). Verrà resa disponibile anche una procedura online, ma per ora la notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente o con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

Le novità

Vediamo ora in cosa cambia la notifica rispetto alla precedente.

Dovranno essere compilate 8 sezione differenti:

1. Dati del soggetto che effettua la notifica, vanno inseriti i dati anagrafici e di contatto del soggetto che EFFETTUA la notifica
2. Dati relativi al titolare del trattamento, qui invece vanno inseriti i dati del titolare (denominazione, C.F./P.IVA, indirizzo ecc.), con i dati di contatto del soggetto da contattare per informazioni (se DPO verrà riconosciuto con il numero di protocollo assegnato, altrimenti i dati del referente) oltre ai riferimenti di ulteriori soggetti coinvolti con indicazione del ruolo (contitolare, responsabile, rappresentante del titolare non stabilito nell’UE)
3. Informazioni di sintesi sulla violazione, deve essere molto specifica e attinente all’accaduto; vanno indicate le informazioni di sintesi relative alla violazione: quindi in breve la data in cui si è verificata, il momento e le modalità con cui il titolare l’ha scoperta, eventuali motivi del ritardo in caso di notifica oltre le 72 ore, oltre a natura e causa del data breach e le categorie di dati personali e soggetti interessati con indicazione dei relativi volumi
4. Informazioni di dettaglio sulla violazione, in questa sezione invece andranno indicati i dettagli relativi alla violazione, descrivendo puntualmente l’incidente, le categorie di dati violate, i sistemi e le infrastrutture informatiche coinvolte, indicando anche ubicazione e misure di sicurezza tecniche e organizzative adottate
5. Possibili conseguenze e gravità della violazione, si devono identificare i possibili impatti della violazione per i potenziali effetti negativi per gli interessati stimando la gravità del danno
6. Misure adottate a seguito della violazione, vanno segnalate le contromisure tecniche ed organizzative adottate per limitare gli impatti e quelle di futura attuazione per prevenire incidenti futuri simili
7. Comunicazione agli interessati, si deve specificare se la violazione è stata comunicata agli interessati ed in caso di mancata comunicazione bisogna motivarne la ragione
8. Altre informazioni, sezione di chiusura in cui inserire altre note, quali ad esempio: l’impatto transfrontaliero, eventuali segnalazioni già effettuate ad altre autorità, eventuali danni collaterali

Cosa è successo in un anno

La modifica arriva dopo un anno di attività del GDPR, l’armonizzazione con il D.Lgs 101/2018, il periodo di proroga dell’applicazione (ora concluso) e più di 64mila notifiche di data breach, in un periodo in cui (si vedano comunicati Garante su Facebook, sull’hackeraggio delle PEC degli Avvocati e sugli impegni al controllo ispettivo) le Autorità Garanti stanno provvedendo ad emettere sanzioni per inadempimenti. Per ora si è concentrato sulle grandi aziende ma, come vedrete sotto, non ha mai finito di controllare anche quelle più piccole.

Solo in Italia, fino al 30 giugno 2019 (un anno di attività) ci sono state 1254 notifiche di violazione, erano 630 a fine 2018, un trend costante che indica come le aziende stiano subendo continuamente e costantemente attacchi e debbano quindi premurarsi di contrastarli, riportiamo inoltre alcune sanzioni comminate ad aziende italiane per far comprendere come il controllo non sia una “cosa che capita ad altri” ma una cosa che viene fatta metodicamente e che quindi deve trovarci preparati:

• ingiunzione ad Enel Energia (utilizzo dati CRM per marketing)
• AD Sphera Group (per mancanza informativa su sito)
• Vincall (per attività di marketing telefonico senza autorizzazione)

Inoltre il Garante sta mettendo a disposizione delle imprese un software per l’autovalutazione, come indicato in questo articolo.

Diciamo che quindi le attività sono molteplici e per stare dietro alla continua evoluzione del “cantiere privacy” converrebbe affidarsi a gente che si mantiene aggiornata “perché è il suo lavoro”, senza affidarsi a soluzioni fai da te o improvvisate.

D’altronde: questo è il nostro sforzo per fornirvi sempre un servizio migliore

Stefano Pedroni