Indice degli argomenti
Le linee Guida 01/2021 del 14 gennaio 2021 dell’EDPB (European Data Protection Board)
Il Comitato Europeo per la protezione dei dati personali ha approvato, nella riunione plenaria del 14 gennaio scorso, le «Guidelines 01/2021 on Examples regarding Data Breach Notification» (la cui consultazione pubblica si è conclusa il 2 marzo 2021) che affrontano e analizzano dei “precedenti” significativi in materia di data breach. Come si legge nell’introduzione, sebbene il Gruppo di lavoro Art. 29 abbia già prodotto una guida generale sul tema (ossia le Linee Guida WP 250 rev. 1, poi approvate dall’EDPB) analizzando le sezioni rilevanti del GDPR, l’esigenza di questo nuovo ed ulteriore documento nasce dal riconoscimento che le predette Linea Guida, già approvate, non hanno affrontato tutte le questioni pratiche in modo sufficientemente dettagliato. Per questo motivo, è sorta la necessità di una guida orientata alla pratica e basata sui casi concreti che utilizzi le esperienze acquisite dalle Autorità di controllo dello SEE da quando è diventato applicabile il GDPR, con lo scopo dichiarato di completare le Linee guida WP 250, al fine di aiutare i titolari del trattamento dei dati nel decidere come gestire le violazioni dei dati e quali fattori considerare durante la valutazione del rischio.
In sostanza, le linee guida strutturano i casi in base a determinate categorie di violazioni [attacchi ransomware (§ 2); attacchi di esfiltrazione di dati (§ 3); violazioni che hanno la loro fonte nell’attività umana (§ 4, c.d. “rischio umano interno”); smarrimento di dispositivi o furto di documenti cartacei (§ 5); errori nell’invio/smistamento della posta (§ 6); furto d’identità ed esfiltrazione di e-mail (§ 7)]. Per ogni categoria di violazioni sono presentati singoli casi ad essa appartenenti e per essi sono indicate (senza alcuna pretesa di esaustività) le necessarie misure di prevenzione e valutazione del rischio, oltre che di mitigazione dello stesso con i relativi obblighi. Per ogni singolo caso sono previste, poi, le azioni necessarie in base ai rischi individuati: annotazione nel registro interno (in caso di “nessun rischio”); notifica, o meno, all’autorità di controllo competente; e comunicazione, o meno, agli interessati.
Il documento è chiaro nell’ammonire che le lacune di sicurezza devono essere individuate dal titolare del trattamento e affrontate il prima possibile, che è tenuto sempre ad adottare idonee misure di sicurezza perché, come osservato, anche il solo fatto che un attacco ransomware possa verificarsi è solitamente un segno di una o più vulnerabilità nel sistema del controller. Ciò vale anche nei casi di ransomware in cui i dati personali sono stati crittografati, ma non esfiltrati. Invero, “[i]ndipendentemente dall’esito e dalle conseguenze dell’attacco, l’importanza di una valutazione onnicomprensiva del sistema di sicurezza dei dati – con particolare enfasi sulla sicurezza IT – non si sottolineerà mai abbastanza. I punti deboli identificati e le falle di sicurezza devono essere documentati e affrontati senza indugio” (cfr. punto 48, § “2.5 Misure organizzative e tecniche per prevenire / mitigare gli impatti di attacchi ransomware”).
Le Linee Guida sottolineano come sia importante la cifratura dei dati personali (alla quale, spesso, i titolari del trattamento non ricorrono), poiché questa misura di sicurezza impedirebbe a chi li acquisisce in modo fraudolento di prendere visione di informazioni riservate. Oltre alla cifratura, parimenti importante (a titolo esemplificativo e non esaustivo) è: mantenere aggiornato il sistema (software e firmware); garantire che tutte le misure di sicurezza IT siano efficaci e regolarmente aggiornate [evidenziando come per poter dimostrare la conformità con l’articolo 5, paragrafo 1, lettera f), del GDPR, il titolare del trattamento dovrebbe conservare un registro di tutti gli aggiornamenti eseguiti, compreso anche il momento in cui sono stati applicati]; usare metodi di autenticazione forte come autenticazione a due fattori e server di autenticazione, integrato da una politica delle password aggiornata; utilizzo di firewall, etc. (cfr. § 70 in merito agli attacchi hacker e, con riferimento allo smarrimento di dispositivi o furto di documenti cartacei, il § 105).
Circa l’errore umano, quale fonte di rischio per la sicurezza dei dati personali, il documento in disamina richiama la risoluzione della Conferenza internazionale dei commissari per la protezione dei dati e la privacy, adottata, nell’ottobre 2019, per affrontare il ruolo dell’errore umano nelle violazioni dei dati personali. Circa l’errore nell’invio della posta (anch’esso errore umano interno, frutto di una disattenzione), il documento in analisi evidenzia come poco possa essere fatto dal controller dopo che l’errore in parola si è verificato, pertanto la prevenzione è ancora più importante in questi casi che negli altri tipi di violazione. Le misure consigliate sono quelle del punto 123, tra cui, ad esempio: l’adeguata formazione del personale; l’elenco nel campo “Ccn” per impostazione predefinita di più destinatari nell’invio di e-mail ai medesimi; applicazione del principio dei quattro occhi; applicazione della funzione del ritardo del messaggio, etc.
Un ulteriore strumento di aiuto per il titolare del trattamento per ottemperare agli obblighi del GDPR
Il GDPR introduce l’obbligo, per il titolare del trattamento, di notificare all’autorità di controllo competente (art. 33 e considerando 85) e, in alcuni casi, di comunicare agli interessati (art. 34 e considerando 86) la violazione dei dati personali (anche conosciuta come data breach).
Nel primo caso, notifica all’Autorità di controllo, il titolare deve provvedervi “senza ingiustificato ritardo” e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo che non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Pertanto, la mancata notifica della violazione (rectius, la decisione di non notificare la violazione) dovrà trovare il suo fondamento nella dimostrazione, da parte del titolare, della improbabilità della stessa di presentare e, dunque, costituire un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, la notifica in discorso dovrà essere corredata dai motivi di ritardo (par. 1, ultimo periodo, art. 33) e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo (C 85). Ai sensi del par. 2, dell’art. 33, il responsabile del trattamento deve informare il titolare senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. La notifica in parola dovrà poi contenere “almeno” quanto indicato dal successivo par. 3 con la specificazione, contenuta nel par. 4, che “[q]ualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo”.
L’importanza di quanto in disamina si comprende ancor di più con la previsione contenuta nel par. 5, secondo cui, indipendentemente dall’obbligo di notifica all’autorità di controllo, è altresì richiesto, sempre ai titolari, di registrare e documentare “qualsiasi” violazione di dati personali in un apposito registro, ove si annoteranno le “circostanze a essa relative”, le sue “conseguenze” e i “provvedimenti adottati” per porvi rimedio. Tale registro, sarà a disposizione dell’Autorità di controllo e le consentirà di verificare il rispetto dei predetti obblighi.
Il cambiamento è chiaro e significativo, in quanto i soggetti destinatari dell’obbligo di notifica di violazione dei dati personali sono tutti i titolari del trattamento e non solo i fornitori di servizi di comunicazione elettronica accessibili al pubblico (il d.lgs. n. 101/2018 ha abrogato gli articoli 32 e 32-bis, del codice privacy). Inoltre, la notifica all’autorità di controllo non è più obbligatoria ed è subordinata alla valutazione del rischio in capo al titolare del trattamento. Ed anche il par. 5, che chiude l’art. 33, è coerentemente improntato al principio di responsabilizzazione.
Nel caso della comunicazione agli interessati, il titolare dovrà provvedervi, senza ingiustificato ritardo, quando la violazione è suscettibile di presentare un “rischio elevato” per i diritti e le libertà delle persone fisiche (art. 34, par. 1) al fine di consentirgli di prendere le precauzioni necessarie (C 86). Qui l’obbligo è connesso e, quindi, si concretizza, con il “rischio elevato” che, appunto, è la molla che lo fa scattare; il titolare, allora, deve essere in grado valutare (e, quindi, comprovare) se la violazione presenti, o meno, un rischio – in questo caso “elevato” – e, dunque, decidere di conseguenza in ordine alla comunicazione agli interessati. Tale comunicazione (prevede il par. 2) descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d). Essa non è richiesta se è soddisfatta una delle condizioni descritte nel par. 3.
Il GDPR interviene poi a colmare un eventuale omissione di comunicazione da parte del titolare, prevedendo che, in questo caso, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta (par. 4, art. 34).
La definizione di “violazione di dati personali” e la sua individuazione
È chiaro che nel momento in cui si chiede al titolare del trattamento di porre rimedio a una violazione, il titolare stesso dovrebbe, in primo luogo, essere in grado di riconoscerla. Il GDPR definisce “«violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (articolo 4, n. 12). Le Linee Guida del Gruppo Art. 29 (del 6 febbraio 2018, WP250 rev. 1) entrano nel merito della classificazione delle violazioni suddividendole in:
- violazione della riservatezza in caso di divulgazione o accesso non autorizzato o accidentale ai dati personali;
- violazione dell’integrità in caso di alterazione non autorizzata o accidentale dei dati personali;
- violazione della disponibilità in caso di perdita accidentale o non autorizzata di accesso o distruzione di dati personali; un esempio di violazione della disponibilità è la perdita/smarrimento della chiave di decodificazione di dati precedentemente codificati; altro esempio è l’interruzione significativa dei servizi e delle attività di un’organizzazione, come un black-out, un accesso negato ai sistemi a seguito di un attacco informatico, etc.
Secondo il Considerando 85 la violazione se non affrontata in modo adeguato e tempestivo può provocare “danni fisici, materiali o immateriali alle persone fisiche, ad esempio […] discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata”. Uno degli obblighi più importanti del titolare del trattamento è valutare questi rischi per i diritti e le libertà delle persone fisiche e attuare adeguate misure tecniche e organizzative per affrontarli. E, conseguentemente, il GDPR richiede al titolare del trattamento di attuare quanto descritto al paragrafo precedente.
Infatti, se è vero che le violazioni dei dati sono problemi in sé e per sé, è altresì vero che esse sono anche sintomi di vulnerabilità di un sistema di sicurezza dei dati ormai obsoleto, indicando, quindi, delle debolezze del sistema stesso che devono essere affrontate. In linea generale è sempre meglio prevenire le violazioni dei dati preparandosi in anticipo, poiché diverse conseguenze di esse sono per loro natura irreversibili. Prima che un titolare del trattamento possa valutare completamente il rischio derivante da una violazione causata da una qualche forma di attacco, dovrebbe essere in grado di identificare la causa principale del problema per poter comprendere se la vulnerabilità che ha dato origine all’incidente di sicurezza è ancora presente. A questo punto è chiaro che se un titolare si autovaluta il rischio come improbabile ma, invece, il rischio si concretizza, l’autorità di controllo competente può utilizzare i suoi poteri correttivi e può irrogare sanzioni.
Ecco che il principio di responsabilizzazione (accountability) e di protezione dei dati fin dalla progettazione e per impostazione predefinita (data protection by design and by default) devono guidare il titolare del trattamento nel compito, che il GDPR gli affida, di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali. D’altronde, come già anticipato, le misure tecniche e organizzative che il titolare deve mettere in atto devono essere “adeguate” per garantire un livello di sicurezza “adeguato” al rischio (art. 32 e considerando 83 GDPR).
Il servizio telematico dedicato al data breach dell’Autorità di controllo italiana
L’Autorità di controllo italiana ha pubblicato, nella sezione dedicata al data breach del proprio sito istituzionale (Violazioni di dati personali – Data Breach – Garante Privacy), un dettagliato approfondimento sul tema, al fine di facilitare l’accesso alla normativa, ai documenti interpretativi e informativi di riferimento. Il 23 dicembre 2020, l’autorità ha lanciato, poi, un nuovo servizio on-line (Il servizio telematico dedicato al data breach) per supportare i titolari del trattamento nell’assolvimento degli obblighi relativi alla violazione dei dati personali, con accesso ad una procedura di autovalutazione.
In sintesi il Garante italiano, nell’indicare cosa fare in caso di data breach premettendo le che “vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali”, specifica che la notifica deve contenere le informazioni previste all’art. 33, par. 3, del Regolamento (UE) 2016/679 e indicate nel proprio Provvedimento del 30 luglio 2019, con la precisazione che qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione. Chiarito come inviare la notifica al Garante (tramite p.e.c. oppure tramite p.e.o., sottoscritta digitalmente ovvero con firma autografa, in quest’ultimo caso allegando copia del documento d’identità del firmatario), l’autorità di controllo italiana evidenzia di aver ideato e messo disposizione dei titolari del trattamento (proprio per semplificare i loro adempimenti) un apposito strumento di autovalutazione (self assessment) – di cui prima – che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.
La scheda si conclude rammentando le azioni del Garante, che può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) e irrogare sanzioni pecuniarie.
Infatti, e più nel dettaglio, il mancato rispetto degli obblighi di cui ai summenzionati articoli 33 e 34 può comportare le seguenti sanzioni:
- sanzioni amministrative pecuniarie sino all’importo di 10 milioni di euro o, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore [art. 83, par. 4, lett. a), GDPR];
- risarcimento del danno in favore dell’interessato (art. 82 GDPR);
- divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità [art. 58, par. 2, lett. f), GDPR].
