Riconoscimento di una violazione dei dati personali e obbligo di notifica: in caso di dubbio c’è un rapido test - Riskmanagement

Compliance

Riconoscimento di una violazione dei dati personali e obbligo di notifica: in caso di dubbio c’è un rapido test

La mancata corretta documentazione di una violazione può comportare l’esercizio da parte dell’Autorità di controllo dei suoi poteri ai sensi dell’articolo 58 del GDPR e l’imposizione di una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del GDPR

24 Nov 2020

Simona Loprete

esperta in privacy

Il Titolare del trattamento che si trova nella scomoda condizione di fronteggiare un incidente di sicurezza che coinvolga dati personali, come per esempio un attacco informatico, deve essere capace di contrastare l’incidente e interrogarsi contestualmente sulla tipologia di violazione subita e sui possibili conseguenti effetti negativi al fine di gestire tempestivamente e al meglio i rischi per gli interessati. Posto che le disposizioni del Regolamento UE 2016/679 (GDPR) si applicano alle violazioni che riguardano dati personali, tra i primi passi da fare vi è sicuramente l’analisi sull’esistenza o meno di una violazione dei dati personali ai sensi del GDPR, l’individuazione del tipo di violazione dei dati personali e la valutazione della necessità di notifica al Garante della protezione dei dati personali.

L’analisi del Titolare del trattamento potrebbe passare per queste sei fasi di interrogativi:

  1. Sussiste violazione dei dati personali?
  2. Di che tipo di violazione si tratta?
  3. Accertata la violazione, quando scatta l’obbligo di notifica all’Autorità di controllo?
  4. Quali informazioni raccogliere per la notifica all’Autorità di controllo?
  5. Quando comunicare all’interessato la violazione dei propri dati personali?
  6. Quali informazioni fornire alle persone fisiche interessate?

Fase 1: sussiste violazione dei dati personali?

In costanza di un incidente di sicurezza bisogna innanzitutto chiedersi se l’attacco ha comportato la violazione di dati personali, tenendo presente che un incidente di sicurezza non è necessariamente da considerarsi una violazione dei dati personali.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Per rispondere a questo primo essenziale interrogativo è necessario sapere cosa si intende per violazione dei dati personali di cui troviamo la definizione all’articolo 4, punto 12, del GDPR in base al quale c’è violazione di dati personali quando la violazione di sicurezza comporta accidentalmente o in modo illecito:

  • distruzione dei dati personali

I dati personali degli interessati in questa ipotesi non sono più esistenti o comunque si trovano in una forma che non è di alcuna utilità per il Titolare del trattamento.

  • perdita dei dati personali

I dati personali degli interessati si intendono perduti quando il titolare del trattamento non è più in possesso di tali dati o quando non ha più il controllo di essi o quando perde la possibilità di accedere ad essi.

  • modifica dei dati personali ossia quando i dati subiscono una qualche forma di danneggiamento.

Si verifica un danno se i dati personali vengono modificati, corrotti o sono resi incompleti.

  • divulgazione non autorizzata

In questo caso i dati personali degli interessati sono stati portati illecitamente a conoscenza di soggetti non autorizzati a riceverli.

  • accesso a dati personali trasmessi, conservati o comunque trattati

La violazione si concretizza mediante l’accesso ai dati personali da parte di destinatari non autorizzati ad accedervi o a qualsiasi altra forma di trattamento in violazione del GDPR.

Alcuni esempi concreti di violazione dei dati personali sono: il furto o la perdita di dispositivi informatici contenenti dati personali; l’acquisizione fraudolenta dei dati da parte di terzi non autorizzati; la distruzione dei dati a seguito di incendi o altre calamità; l’impossibilità di accedere ai dati per attacchi esterni, virus o malware.

Qualora, a seguito dell’incidente di sicurezza, si verifichi una delle ipotesi precedentemente elencate, allora si può concludere che vi sia stata una violazione dei dati personali e che, di conseguenza, si applichi il GDPR. Nello specifico, il Titolare del trattamento, nelle proprie attività di trattamento, non è più in grado di rispettare i principi prescritti dal GDPR a protezione dei dati personali trattati, quale quello di integrità e riservatezza.

Fase 2: di che tipo di violazione si tratta?

Il Gruppo di lavoro istituito in virtù dell’articolo 29 della Direttiva 95/46/CE quale organo consultivo indipendente dell’Unione Europea in materia di protezione dei dati personali e applicazione coerente delle relative norme, oggi in virtù dell’applicazione del GDPR denominato European Data Protection Board, in un parere del 2014 aveva classificato le violazioni in base a tre principi della sicurezza delle informazioni.

Stabilire la tipologia di violazione dei dati personali rappresenta un passaggio importante non solo in termini di adempimento formale nel caso di violazione da notificare all’Autorità di controllo ma anche in termini di consapevolezza più profonda da parte del Titolare del trattamento sulla natura dei possibili danni a carico degli interessati.

I tipi di violazione dei dati personali, che possono anche sommarsi e combinarsi fra loro, sono i seguenti:

  • Violazione della riservatezza del dato personale.

Si ha una violazione della riservatezza dei dati personali quando questi, accidentalmente o in modo illecito, siano stati divulgati o siano accessibili a soggetti non autorizzati.

  • Violazione dell’integrità del dato personale.

Si considera una violazione dell’integrità l’alterazione dei dati personali quale, per esempio, la modifica non autorizzata o accidentale di essi.

  • Violazione della disponibilità del dato personale.

Una violazione di disponibilità si verifica nei casi di:

  1. Perdita dei dati personali;
  2. Mancata possibilità di accesso ai dati personali da parte del soggetto autorizzato;
  3. Distruzione, accidentale o illecita, dei dati personali.

La determinazione di quest’ultima tipologia di violazione può essere più complessa perché il Titolare del trattamento tra le ipotesi di perdita di disponibilità del dato personale deve includere nella propria analisi non soltanto la perdita o la distruzione permanente dei dati ma anche la perdita temporanea del dato personale. In alcuni casi, infatti, l’impossibilità di accesso da parte degli interessati ai dati personali per un certo periodo di tempo può causare una lesione dei diritti e delle libertà degli interessati ai quali, tra l’altro, in linea generale, si dovrebbe assicurare la sicurezza dei dati su base permanente. Di conseguenza, l’indisponibilità anche se temporanea dei dati personali a seguito di un incidente di sicurezza è da considerarsi una violazione.

Fase 3: accertata la violazione, quando scatta l’obbligo di notifica all’Autorità di controllo?

Ai sensi dell’articolo 33, paragrafo 1, del GDPR le violazioni dei dati personali devono essere notificate dal Titolare del trattamento all’Autorità di controllo a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà dell’interessato.

L’eccezione alla regola della notifica al Garante della protezione dei dati personali sta nell’improbabilità che la violazione presenti il rischio che si verifichino conseguenze negative a danno dell’interessato. Una violazione della riservatezza di dati personali crittografati e dunque, resi sostanzialmente incomprensibili ai soggetti non autorizzati, in linea di principio, se esiste per esempio una copia o un backup e se la chiave di decifratura non è stata compromessa, non dovrebbe essere notificata all’Autorità di controllo poiché è improbabile che tale violazione presenti un rischio per i diritti e le libertà degli interessati. Qualora le circostanze mutassero e si dovessero rilevare successivamente delle vulnerabilità, allora sarà necessario rivalutare il rischio.

In conclusione, volendo semplificare e procedere per concetti generali, per il Titolare del trattamento scatta l’obbligo di notifica all’Autorità di controllo ogni qual volta sia probabile che dalla violazione dei dati personali conseguano effetti negativi per le persone fisiche.

Le conseguenze negative per gli interessati che seguono ad una violazione dei propri dati personali possono essere molteplici e riguardare la sfera fisica, materiale o immateriale. A titolo esemplificativo, potrebbero verificarsi perdite finanziarie, furti o usurpazioni d’identità, violazioni del segreto professionale, danni di natura sociale e problemi discriminatori o pregiudizi allo stato di salute con impatti di ogni tipo sulla vita della persona.

Con riferimento al dovere di notifica all’Autorità di controllo, è necessario ricordare che tale comunicazione deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il Titolare del trattamento, mettendo in atto tutte le misure tecnologiche ed organizzative di protezione già predisposte, ne sia venuto a conoscenza.

Il GDPR, come sottolineato dal Gruppo di Lavoro Articolo 29, richiede al Titolare del trattamento di assicurarsi, con l’adozione di misure adeguate, di poter venire a conoscenza di eventuali violazioni in maniera tempestiva in modo da poter gestire in maniera appropriata l’incidente di sicurezza e contrastare la compromissione dei dati personali degli interessati.

La celerità d’azione nello stabilire l’effettiva violazione e nel condurre le indagini sui potenziali rischi relativi al caso specifico, è una componente fondamentale nell’ambito del principio di responsabilizzazione del Titolare del trattamento. In questo senso è altamente raccomandabile che il Titolare del trattamento disponga di procedure interne che includano un piano di intervento nelle ipotesi di incidenti di sicurezza in modo che il meccanismo di segnalazione delle violazioni, incluse le responsabilità operative all’interno dell’organizzazione, sia più agevole e tempestivo possibile.

Infine, si precisa, che una notifica tardiva all’Autorità di controllo, corredata dai motivi del ritardo, è ammessa quando il Titolare del trattamento, per la particolare complessità dell’incidente di sicurezza subito, non riesca entro 72 ore dal momento in cui è venuto a conoscenza della violazione a completare la propria indagine sull’entità delle violazioni. Ciò potrebbe accadere nei casi di violazioni multiple e simili tra loro per cui è permesso presentare un’unica notifica che descriva tutte le violazioni, se queste riguardano lo stesso tipo di dati e siano state commesse nel medesimo modo in un lasso di tempo relativamente breve.

Fase 4: quali informazioni raccogliere per la notifica all’Autorità di controllo?

In questa fase è possibile fare affidamento sul modello di notifica messo a disposizione dal Garante della protezione dei dati personali che guiderà il Titolare del trattamento nella descrizione della violazione in osservanza di quanto prescritto dall’articolo 33 del GDPR.

In particolare, il paragrafo 3, dell’articolo 33 del GDPR specifica che la notifica deve almeno:

  1. Descrivere la natura della violazione dei dati personali, e quando possibile, indicare le categorie (per esempio: minori, dipendenti, clienti, disabili) ed il numero approssimativo di interessati e la rispettiva tipologia di dati registrati (per esempio: registri didattici, dati sanitari, dettagli finanziari, informazioni sull’assistenza sociale);
  2. Comunicare, ove sia presente, il nome e i dati di contatto del Responsabile della protezione dei dati oppure i riferimenti di un referente presso cui ottenere maggiori informazioni;
  3. Descrivere le probabili conseguenze della violazione dei dati personali;
  4. Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e per attenuare i possibili effetti negativi.

Il Titolare del trattamento può fornire ulteriori informazioni qualora lo ritenga necessario ed in ogni caso l’Autorità di controllo potrà richiedere ulteriori dettagli nel contesto dell’indagine su una violazione.

Un vantaggio riservato al Titolare del trattamento, nell’ottica di una sua pronta reazione alla violazione, consiste nella possibilità di effettuare una notifica per fasi successive, senza ulteriore ingiustificato ritardo, qualora non sia possibile fornire tutte le informazioni richieste nella prima notifica e si abbia necessità di effettuare ulteriori accertamenti. Il Titolare del trattamento dovrà indicare, all’atto della prima notifica, che il quel momento non dispone di un quadro completo della violazione e, terminata l’indagine, dovrà integrare la precedente notifica con gli ulteriori dettagli venuti alla luce motivandone il ritardo.

Avviare il processo di notifica con una comunicazione preliminare piuttosto che attendere la conclusione delle indagini, oltrepassando il termine delle 72 ore, risulta anche utile allo scopo di ottenere dall’Autorità di controllo orientamenti sull’opportunità o meno di notificare la violazione alle persone fisiche interessate, quando si nutrano ragionevoli dubbi.

D’altra parte la notifica all’Autorità di controllo non può essere addotta come pretesto per non comunicare la violazione agli interessati laddove la comunicazione sia evidentemente necessaria in considerazione della natura della violazione e della gravità del rischio.

Nell’ipotesi in cui si proceda con una notifica preliminare, ma in seguito si accerti che non si sia verificata alcuna violazione dei dati personali, il Titolare del trattamento, senza incorrere in alcuna sanzione, può darne comunicazione all’Autorità di controllo che registrerà l’incidente di sicurezza come un evento che non costituisce violazione dei dati personali.

Fase 5: quando comunicare all’interessato la violazione dei propri dati personali?

In aggiunta alla notifica della violazione all’Autorità di controllo, il Titolare del trattamento è tenuto a informare, senza ingiustificato ritardo, le persone fisiche interessate nei casi in cui la violazione presenti un rischio elevato per i diritti e le libertà degli interessati così come disposto dall’articolo 34, paragrafo 1, del GDPR.

Se, dunque, per la notifica al Garante Privacy è sufficiente che si configuri la probabilità del rischio, l’obbligo di comunicazione della violazione all’interessato si restringe alle sole ipotesi di rischio elevato per i loro diritti e le loro libertà.

Nella valutazione del rischio per le persone fisiche interessate il Titolare del trattamento dovrà compiere una valutazione oggettiva che prenda in considerazione le circostanze specifiche della violazione, inclusa la gravità dell’impatto potenziale e la probabilità che tale impatto si verifichi.

In particolare si dovrà tener conto dei seguenti criteri:

  • Il tipo di violazione verificatosi che può influire sul livello di rischio a danno della persona fisica.

In linea generale, per esempio, è possibile che influisca in maniera maggiormente negativa sull’interessato la divulgazione a terzi non autorizzati dei propri dati personali piuttosto che la perdita degli stessi.

  • La natura e il volume dei dati personali

Risulta evidente che tendenzialmente il carattere sensibile dei dati personali oggetto di violazione esponga l’interessato a rischi maggiori rispetto ad una violazione di dati personali comuni. Occorre, tuttavia, tener sempre presente in sede di valutazione le circostanze specifiche ed il contesto in cui la violazione ha luogo.

Alcuni dati personali apparentemente poco significativi sono in grado di rivelare informazioni estremamente delicate sulla vita di una persona ed analogamente, una vasta gamma di informazioni personali può esporre l’interessato a ripercussioni maggiori rispetto all’impatto che avrebbe la violazione di un singolo dato di natura sensibile.

  • La facilità di identificazione delle persone fisiche

L’adozione di misure di protezione dei dati personali è capace di ridurre la probabilità (anche totalmente ed in tal caso non è richiesta la comunicazione all’interessato) che le persone fisiche vengano identificate in caso di violazione, anche se, come precisato dal Gruppo di lavoro Articolo 29, occorre tener presente che le tecniche di pseudonimizzazione da sole non sono in grado di rendere oltre ogni ragionevole dubbio i dati incomprensibili.

In assenza di un livello adeguato di protezione, pertanto, i dati sono esposti a rischi maggiori per la loro capacità di essere abbinati con altri dati e quindi comportare una facile identificazione della persona.

  • Gravità delle conseguenze per le persone fisiche

La gravità delle conseguenze per le persone fisiche interessate può dipendere da diversi fattori, uno dei quali è rappresentato, come anticipato al punto b), dalle categorie dei dati violati e delle persone interessate.

Altri fattori determinanti possono essere costituiti dalla conoscenza o meno, da parte del Titolare del trattamento, dei terzi che hanno acquisito i dati. Un destinatario conosciuto e di cui si possano presumere le intenzioni è sicuramente meno pericoloso di un destinatario sconosciuto che potrebbe disporre dei dati in maniera malevola.

  • Caratteristiche particolari dell’interessato

I dati personali violati, se appartengono a persone minori d’età o a categorie vulnerabili, sono inevitabilmente soggetti a un rischio più elevato di danno.

  • Caratteristiche particolari del Titolare del trattamento

Il ruolo svolto da alcuni Titolari del trattamento può essere inevitabilmente più delicato anche con riferimento al trattamento dei dati la cui violazione può influire sul livello di rischio.

  • Numero di persone fisiche interessate

Con riferimento a questo criterio è necessario fare particolare attenzione al contesto perché se è vero che tendenzialmente maggiore è il numero degli interessati, maggiore è l’impatto che una violazione può avere, è altrettanto plausibile che una violazione può avere ripercussioni gravi anche su una sola persona fisica.

  • Aspetti generali

E’ raccomandabile che il Titolare del trattamento, nell’ipotesi in cui nutra dei dubbi sull’opportunità di dare comunicazione della violazione all’interessato, opti per la notifica.

Possono essere utili a riguardo le “Recommendations for a methodology of the assessment of severity of personal data breaches” elaborate dall’ENISA.

È da tenere presente che se il Titolare del trattamento immediatamente dopo una violazione ha adottato misure destinate a garantire che non sia più probabile che si concretizzi l’elevato rischio ai diritti e alle libertà delle persone fisiche, allora non è richiesta la comunicazione agli interessati.

Fase 6: quali informazioni fornire alle persone fisiche interessate?

A norma dell’articolo 34, paragrafo 2, del GDPR la comunicazione all’interessato deve essere fornita utilizzando un linguaggio semplice e chiaro e contenere almeno le seguenti informazioni:

  1. una descrizione della natura della violazione;
  2. il nome e il contatto del Responsabile della protezione dei dati o di un altro punto di contatto;
  3. una descrizione delle probabili conseguenze della violazione;
  4. una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, e anche, se del caso, per attenuare i possibili effetti negativi.

Rispetto alle modalità con cui effettuare la comunicazione, in linea di principio, la violazione dovrebbe essere comunicata direttamente agli interessati coinvolti a meno che ciò non richieda uno sforzo sproporzionato per cui è sufficiente procedere con una comunicazione pubblica o con una misura simile di analoga efficacia.

Posto che è possibile utilizzare anche più metodi di comunicazione, è importante che il Titolare del trattamento scelga un mezzo appropriato, sicuro ed in grado di massimizzare la possibilità di comunicare correttamente le informazioni a tutte le persone interessate. Inoltre, il Titolare del trattamento dovrà garantire che la comunicazione sia accessibile in formati alternativi e lingue pertinenti nell’interesse della piena comprensibilità da parte delle persone fisiche.

Conclusioni

Qualora solo la prima fase di questa analisi abbia avuto esito affermativo, e quindi non si proceda con la notifica all’Autorità di controllo, il Titolare del trattamento non deve dimenticare l’obbligo di conservare la documentazione di tutte le violazioni in virtù del principio di responsabilizzazione.

L’Autorità di controllo come previsto dall’articolo 33, paragrafo 5, del GDPR può richiedere di consultare tali registri in cui è necessario specificare i dettagli relativi alle violazioni, comprese le cause, i fatti, i dati personali interessati, gli effetti della violazione e i provvedimenti adottati per porvi rimedio.

Inoltre, è raccomandato dal Gruppo di lavoro documentare il ragionamento che ha escluso la decisione di notificare la violazione all’Autorità di controllo e, nello specifico, le motivazioni per le quali si ritengano i rischi per i diritti e le libertà degli interessati improbabili.

Si noti che la mancata corretta documentazione di una violazione può comportare l’esercizio da parte dell’Autorità di controllo dei suoi poteri ai sensi dell’articolo 58 del GDPR e l’imposizione di una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del GDPR.

WHITEPAPER
Quali sono le minacce digitali che mettono in pericolo le vendite al dettaglio?
Retail
Sicurezza
@RIPRODUZIONE RISERVATA
L
Simona Loprete
esperta in privacy
Argomenti trattati

Approfondimenti

B
bank risk management
D
data breach
G
GDPR

Articolo 1 di 5