Come elaborare il registro delle violazioni in assenza di comunicazione di data breach al Garante

Partendo dall’assunto che nel caso si verifichi un episodio all’interno della propria organizzazione che possa ricondurre a un data breach, ossia a una violazione di dati personali determinata da una intromissione, manomissione o furto, occorre sempre fare una valutazione dell’accaduto.

È bene ricordare che a seguito di un evento del genere si possono configurare varie situazioni che è necessario considerare al fine di poter gestire la situazione pianificando tutti gli adempimenti nel pieno rispetto del GDPR.

Cosa fare in caso di data breach

Premesso che la tutela fondamentale deve essere rivolta agli interessati da cui abbiamo ottenuto i dati e che loro sono i primi a cui è necessario rivolgersi (a meno che si verifichi una delle tre condizioni riportate dall’articolo 34 al paragrafo 3 e che analizzeremo nel prosieguo) per fare in modo che gli stessi prendano gli opportuni provvedimenti, il secondo passaggio obbligatorio in base alla legge in vigore è quello di darne comunicazione all’Autorità di controllo ovvero al Garante per la Protezione dei Dati Personali.

Tale comunicazione è prescritta dalle indicazioni presenti nell’articolo 33 comma 1: “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.”

Al fine di chiarire ulteriormente la modalità di gestione del sinistro vengono in aiuto i considerando 85 e 87 che cercano di sensibilizzare il titolare del trattamento sulle metodologie di prevenzione del trattamento dei dati al fine di scongiurare situazioni di pericolo che possano compromettere i famosi parametri RID (riservatezza, integrità, disponibilità) che ogni trattamento detiene fin dal momento della costituzione.

Se nel comma 3 del già citato articolo 33 vengono indicate le caratteristiche e le informazioni che deve contenere una notifica al Garante, il comma 5 dello stesso articolo afferma che: “Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo”.

Ecco quindi la necessità per il titolare di documentare qualsiasi violazione di dati che possa avvenire all’interno della propria organizzazione. Lasciando ad altri approfondimenti le ragioni e le motivazioni che impongono obbligatoriamente di effettuare la notifica valutiamo in questa trattazione le motivazioni e le modalità che impongono ad ogni titolare di tenere all’interno del proprio sistema di gestione privacy un apposito registro delle violazioni.

Tale obbligo da parte del titolare del trattamento è direttamente interconnesso con il principio di responsabilizzazione presente nell’articolo 5 paragrafo 2: “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)” e nel considerando 74 del GDPR. Non solo, l’obbligo che impone al titolare che nel rispetto del Regolamento “[…] mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” è individuabile all’interno dell’articolo 24.

Il registro delle violazioni, quando è richiesto

Conseguentemente ogni titolare è spinto a creare un registro delle violazioni come prova inoppugnabile nei confronti delle autorità di controllo indipendentemente dalla portata della violazione e dalla tipologia che sia o meno soggetta alla notifica.

Va ricordato che così come espresso all’interno del WP250 rev.1 del Gruppo di lavoro Articolo 29 in merito alle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento UE 2016/679” e di cui si consiglia un’attenta lettura, il titolare del trattamento può scegliere di documentare le violazioni nel contesto del suo registro delle attività di trattamento che deve essere mantenuto, all’interno della propria organizzazione nel rispetto dell’articolo 30.

Si evince quindi che non è richiesto un registro apposito a condizione che le informazioni rilevanti per la violazione siano chiaramente identificabili come tali e possano essere estratte su richiesta delle autorità.

In merito alle informazioni che devono essere inserite all’interno del documento contenente gli accadimenti avvenuti possiamo attingere una traccia coerente dall’articolo 33 del GDPR e riportare un breve elenco riepilogativo:

• dettagli relativi alla violazione come tempi, modalità di esecuzione, data della scoperta;
• cause che possono aver compromesso la situazione e portato al data breach;
• fatti inerenti qualsiasi dettaglio che possa descrivere l’accaduto;
• dati personali coinvolti e compromessi;
• effetti della violazione;
• cConseguenze della violazione;
• provvedimenti adottati per rimediare all’accaduto;
• ogni altro elemento necessario ad aggiungere dettagli che possano essere utili alla tutela degli interessati e al ripristino di condizioni di sicurezza.

È palese la necessità di esporre il ragionamento alla base delle decisioni prese in risposta a una violazione apportando le ragioni che hanno determinato la scelta di non notificare tale violazione.

All’interno di tale giustificazione sono fondamentali i motivi per cui il titolare ritiene improbabile che la violazione possa presentare un rischio per i diritti e le libertà delle persone fisiche o altre situazioni che possano compromettere i dati personali così come espresso dal considerando 85 del GDPR.

La comunicazione all’interessato e all’Autorità, quando è necessaria

Altro importante elemento da portare ai fini della giustificazione della mancata denuncia di violazione può essere dedotto dall’articolo 34 paragrafo 3 che respinge la necessità di comunicazione all’interessato se si verifica almeno una delle condizioni riportate:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Laddove comunichi una violazione alle persone fisiche interessate, il titolare del trattamento dovrebbe essere trasparente in merito alla violazione e comunicare in maniera efficace e tempestiva. Di conseguenza, conservando le prove di tale comunicazione il titolare del trattamento faciliterebbe la dimostrazione della propria assunzione di responsabilità e del proprio rispetto delle norme.

Per agevolare il rispetto degli articoli 33 e 34, sarebbe vantaggioso tanto per il titolare del trattamento quanto per il responsabile del trattamento disporre di una procedura di notifica documentata, che stabilisca il processo da seguire una volta individuata una violazione, ivi compreso come contenere, gestire e porre rimedio all’incidente, valutare il rischio e notificare la violazione.

A questo proposito, per dimostrare il rispetto del Regolamento potrebbe anche essere utile dimostrare che i dipendenti siano stati precedentemente informati dell’esistenza di tali procedure, dei meccanismi da adottare e che siano in grado di reagire alle violazioni.

Ecco quindi la necessità di organizzare e predeterminare una procedura coerente e chiara da comunicare ai dipendenti attraverso un coerente e puntuale processo di formazione.

In supporto a tale obiettivo, al fine di chiarire tutti i passaggi necessari alla decisione sulla necessità di darne comunicazione, si riportano una serie di passaggi per chiarire l’obbligatorietà della notifica all’autorità di controllo, alle persone fisiche oppure a entrambi.

• Assenza di obbligo di notifica a persone fisiche e Autorità di controllo

• Il titolare del trattamento rileva/viene informato di un incidente di sicurezza e stabilisce se si è verificata una violazione dei dati personali.
• Il titolare del trattamento è “a conoscenza” della violazione dei dati personali e valuta i rischi per le persone fisiche.
• È probabile che la violazione presenti un rischio per i diritti delle persone fisiche? E per le loro libertà?
• Se la risposta è negativa si configura la non obbligatorietà della notifica all’Autorità di controllo o alle persone fisiche
• La violazione sarà registrabile ai sensi dell’articolo 33 paragrafo 5, dovrà essere documentata e il titolare dovrà conservare la documentazione ed esibirla in caso di richiesta dagli organi di controllo.

• Obbligo di notifica esclusivamente all’Autorità di controllo

1. Il titolare del trattamento rileva/viene informato di un incidente di sicurezza e stabilisce se si è verificata una violazione dei dati personali.
2. Il titolare del trattamento è “a conoscenza” della violazione dei dati personali e valuta i rischi per le persone fisiche.
3. È probabile che la violazione presenti un rischio per i diritti delle persone fisiche? E per le loro libertà?
4. Se la risposta è affermativa è necessaria la notifica all’Autorità di controllo competente.
5. In tale caso si seguiranno le procedure espresse dal GDPR in merito alla notifica di data breach.

• Obbligo di notifica all’Autorità di controllo e alle persone fisiche

1. Il titolare del trattamento rileva/viene informato di un incidente di sicurezza e stabilisce se si è verificata una violazione dei dati personali.
2. Il titolare del trattamento è “a conoscenza” della violazione dei dati personali e valuta i rischi per le persone fisiche.
3. È probabile che la violazione presenti un rischio per i diritti delle persone fisiche? E per le loro libertà?
4. Se la risposta è affermativa si ricade nel caso precedente ma se inoltre si prefigura la possibilità di un rischio elevato per i diritti e le libertà delle persone fisiche allora è necessario effettuare la notifica alle persone interessate e, laddove richiesto, fornire loro informazioni sui provvedimenti che possono adottare per proteggersi dalle conseguenze della violazione.

Conclusioni

È bene precisare infine che il Regolamento non specifica un periodo di conservazione della documentazione inerente il registro delle violazioni. Nel caso in cui essi contengano dati personali, spetterà al titolare del trattamento stabilire il periodo appropriato di conservazione in conformità ai principi connessi al trattamento dei dati personali, così come prescrive l’articolo 5 e soddisfare una base legittima per il trattamento (articolo 6).

Nel caso in cui il registro delle violazioni non contenga dati personali sarà necessario conservare la documentazione in conformità dell’articolo 33, paragrafo 5, nella misura in cui il titolare può essere chiamato a fornire prove all’autorità di controllo in merito al rispetto di tale articolo oppure, più in generale, del principio di responsabilizzazione.

Si desume quindi che qualsiasi situazione avversa che si verifica all’interno della propria azienda deve essere opportunamente registrata al fine di creare uno storico degli accadimenti e delle conseguenti risoluzioni.