Comunicazione delle violazione di dati personali “Data Breach”. Quali sono gli impatti, le responsabilità e le sanzioni

data-breach

 

Con il regolamento europeo in materia di protezione dei dati personali (regolamento 2016/679[1]), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta UfficialeEuropea del 4 maggio 2016 inizia una nuova stagione per la sicurezza dei sistemi e dei dati nelle pubbliche amministrazioni nelle imprese e studi professionali.

Il regolamento europeo introduce, infatti, l’obbligo di comunicazione delle violazioni di dati personali, (non previsto nella precedente direttiva 95/46/CE[2] a tutti i trattamenti di dati personali effettuati dalle pubbliche amministrazioni e imprese, obbligo previsto  attualmente previsto in alcuni ordinamenti.[3]

Per  “violazione dei dati personali” si intende secondo  il regolamento europeo: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. [4], tra queste violazioni possiamo citare quella maggiormente sottovalutata, la violazione della Mail.

Il regolamento distingue due modalità di data breach: la comunicazione delle violazioni di dati all’autorità nazionale di protezione dei dati personali, Garante Privacy (prevista dall’art.33 del regolamento) e la comunicazione ai soggetti a cui si riferiscono i dati (utenti -clienti – fornitori), nei casi più gravi (c.d. soggetti “interessati), prevista dall’art. 34 del regolamento.

Il Regolamento Europeo (GDPR) specifica quale soggetto è tenuto a notificare, entro quanto tempo, le modalità ed il contenuto della notificazione della violazione dei dati personali “data breach”, le eventuali responsabilità e sanzioni nel caso di violazione degli obblighi in materia.

La notifica delle violazioni dei dati personali ricade sul titolare del trattamento[5] e deve essere comunicata all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Il termine di 72 ore costituisce un periodo molto breve in considerazione della complessità organizzativa delle pubbliche amministrazioni, delle imprese e dei relativi trattamenti di dati effettuati. Il “titolare del trattamento” deve essere informato della violazione dei dati dal “responsabile del trattamento” senza ritardo dopo esserne venuto a conoscenza. Si osserva, come emerso in recenti attacchi informatici, che le P.A. e le imprese od anche gli utenti generici, non si accorgono degli attacchi o violazioni di dati subite e vengono a sapere di queste violazioni dai giornali, o dagli stessi hacker che postano le loro “imprese” sui social.

Si osserva inoltre che non è sempre semplice comprendere e documentare la violazione di dati, occorre personale tecnico qualificato, pertanto, nell’ottica di responsabilizzazione (accountability) degli operatori, informare e sensibilizzare tutti gli attori interni ed esterni alla struttura su questi profili di sicurezza attraverso la progettazione di seminari di formazione in materia di gestione informatica e dei dati sensibili, cosa che risulta anche obbligatoria secondo il nuovo regolamento (formazione obbligatoria).

Il regolamento prevede, una soluzione pragmatica, nel caso in cui la  la notifica all’autorità di controllo non sia effettuata entro le previste 72 ore,  il titolare può comunque inviare la sopra citata notifica  ma è tenuto ad allegare anche un documento in cui illustri i motivi del ritardo.

La previsione di obbligo di data breach comporta che le pubbliche amministrazioni e le imprese “sono tenute” a verificare  se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione,  e stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato.

Nella comunicazione deve essere riportato il riferimento e i dati di contatto del “responsabile della protezione dei dati”, ovvero la nuova figura del Data Protection Officer, o di altro punto di contatto presso cui ottenere più informazioni e la descrizione delle probabili conseguenze della violazione dei dati personali.

La comunicazione deve essere redatta con cura e attenzione da consulenti competenti nel settore giuridico informatico, in quanto può dar luogo a un intervento dell’Autorità di Controllo nell’ambito dei suoi compiti e poteri previsti dal regolamento.

Il titolare del trattamento deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e soprattutto i provvedimenti adottati, o che intende adottare per porvi rimedio.

La sopra citata documentazione è strategica e deve essere conservata con la massima cura e diligenza in quanto può essere richiesta dall’Autorità Garante di controllo al fine di verificare il rispetto delle disposizioni del regolamento europeo in materia di protezione dei dati personali.

Come anticipato, il Regolamento Europeo prevede anche la comunicazione della violazione dei dati personali “data breach” verso il soggetto interessato (cittadino, clinete utente), comunicazione che è richiesta, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche: nella visione del regolamento, se l’interessato (cittadino o utente) è avvertito della violazione può prendere le precauzioni necessarie in materia.[6] La sopra citata comunicazione deve essere effettuata dal titolare senza ingiustificato ritardo.

Il regolamento richiede che la comunicazione all’interessato (cittadino) deve essere effettuata, senza ingiustificato ritardo, con un linguaggio semplice e chiaro al fine di fare comprendere allo stesso la natura della violazione dei dati personali verificatesi.

Il regolamento specifica il contenuto minimo (informazioni e le misure) con un richiamo al sopra citato art. 33, paragrafo 3, lettere b), c) e d) del regolamento che ricomprende:

– la comunicazione dei riferimenti e i dati di contatto del responsabile della protezione dei dati (DPO) o di altro punto di contatto presso cui ottenere più informazioni (lett.b);

– la descrizione delle probabili conseguenze della violazione dei dati personali (lett.c);

– la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi (lett.d).

Le pubbliche amministrazioni e imprese dovrebbero[7], al di là del sopracitato contenuto minimo della comunicazione, formulare, raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi.

Il regolamento europeo, nell’ottica di venire incontro alle esigenze delle pubbliche amministrazioni e imprese ed evitare un enorme danno di “web reputation” alle proprie organizzazioni,  specifica che non è richiesta la comunicazione all’interessato  se è soddisfatta una delle seguenti condizioni:

1) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura dei dati;

2) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

3) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Il regolamento europeo per la protezione dei dati richiede che nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle sopra citate condizioni (previste dal paragrafo 3) è soddisfatta.

Nel caso in cui le P.A., le imprese o i professionisti non rispettino gli obblighi previsti dal regolamento in materia di data breach, si espongono al rischio di sanzioni pecuniarie fino a 10.000.000 euro o per le imprese fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

Il data breach mette al centro dell’organizzazione la valutazione e minimizzazione del rischio; occorre infatti, valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e della evoluzione delle fonti di rischio specie informatiche (ramsoware, virus, trojan); occorre valutare anche il rischio per ci cittadini e utenti e verificare se è elevato (ad esempio quando si tratti di frode, furto di identità, danno all’immagine, dati giudiziari o sanitari etc.).

 

 

[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE): consultabile al link  http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679

 

[2] CE, direttiva 95/46 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

 

[3] In Italia l’obbligo di comunicazione delle violazioni di dati personali è previsto attualmente, sono in alcuni specifici settori: telecomunicazioni, società telefoniche e internet provider, dati biometrici, sanitario, pubbliche amministrazioni ( v. per approfondimenti:  Garante per la protezione dei  Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) – 4 aprile 2013 ;  Provvedimento n. 513 del  12 novembre  2014;   Provvedimento n. 392 del  2 luglio 2015,  Provvedimento n. 331 del 4 giugno 2015).

 

[4] Definizione di “violazione di dati” .v. art. 7, punto 12 del regolamento europeo

[5] Il titolare del trattamento  è definito all’art.4, primo paragrafo, punto 7 «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

[6] v. considerando n. 86 del regolamento europeo del regolamento.

 

[7] come evidenziato dal considerando n. 86 del regolamento europeo.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci