Nel mese dicembre è stato pubblicato un provvedimento del Garante per la protezione dei dati personali che offre l’occasione per soffermarsi sul tema del data breach e sugli obblighi che, nel caso di violazione dei dati personali, occorre rispettare per operare in linea con la normativa privacy vigente (Regolamento UE 2016/679, noto anche come RGPD – Regolamento Generale sulla Protezione dei Dati – o GDPR – General Data Protection Regulation).

Il caso e la decisione del Garante privacy nel provvedimento su data breach del 13 dicembre 2018

Il 21 ottobre 2018 un noto istituto di credito ha rilevato, attraverso i sistemi di controllo interno, dei tentativi, provenienti dall’esterno, di forzare il sistema di on-line banking.

Come precisato nella notifica trasmessa al Garante privacy il giorno successivo, la violazione ha interessato “731.519 REB code, dei quali […] 6.859 sono quelli bloccati dalla banca perché era stata individuata la password”.

L’istituto di credito ha pubblicato sul proprio sito web un comunicato in cui indicava di aver bloccato, per motivi di sicurezza, le credenziali di circa 10 mila clienti e di stare contattando gli interessati per il reset della password.

Di fatto, cioè, a fronte della violazione che aveva coinvolto complessivamente 731.519 clienti, la banca ha provveduto a informare direttamente soltanto i 6.859 per i quali era stata individuata anche la password, ritenendo che, invece, non sussistesse un rischio elevato negli altri casi.

Il Garante, nel suo provvedimento del 13 dicembre, ha ritenuto che la violazione dei dati personali dei clienti in argomento, diversamente dalla valutazione effettuata dal titolare del trattamento, fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche in quanto l’acquisizione dei dati personali “è da ritenere già di per sé fonte di potenziale grave pregiudizio per gli interessati, in considerazione dell’abitudine diffusa tra gli utenti dei servizi online di utilizzare password o PIN facilmente memorizzabili”  e poiché le informazioni possono essere utilizzate “come chiavi di ricerca per individuare in rete l´interessato e conseguentemente accedere anche ad altre informazioni allo stesso riferibili (quali, a esempio, un recapito telefonico o un indirizzo di posta elettronica)”; informazioni che – si legge nel provvedimento del Garante – “potrebbero essere utilizzate per rivolgere agli interessati comunicazioni telefoniche o messaggi di phishing a scopo fraudolento, grazie alla conoscenza dei dati personali da parte dei soggetti terzi che hanno condotto l’attacco informatico“.

Alla luce di tali considerazioni, il Garante ha ingiunto al titolare di comunicare senza ritardo, e comunque entro trenta giorni dalla data di ricezione del provvedimento, la violazione dei dati personali a tutti gli interessati che non fossero stati già informati attraverso la precedente comunicazione e di fornire all’Autorità, entro i successivi sette giorni, un riscontro adeguatamente documentato in merito alle iniziative intraprese per la prescritta comunicazione e alle eventuali ulteriori misure adottate per attenuare i possibili effetti negativi della violazione nei confronti degli interessati.

Per comprendere meglio le motivazioni per cui l’istituto di credito ha dovuto effettuare la notifica al Garante e poi, su specifica richiesta dell’Autorità, la comunicazione a tutti i clienti interessati, occorre chiarire cosa sia una violazione di dati personali e quali aspetti il titolare debba valutare per operare nel rispetto della normativa. 

Cosa si intende per “violazione di dati personali”

Secondo la definizione contenuta nel GDPR (art. 4, n. 12), la violazione di dati personali è “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il riferimento è, dunque, a qualsiasi violazione che può derivare da atti illeciti (come nel caso di attacchi esterni da cui derivi un furto dei dati personali) o accidentali (si pensi al dipendente che accidentalmente perda una chiavetta usb o cancelli un data base contenente dati personali).

Cosa fare nel caso di violazione

1. Valutare e documentare la violazione dei dati personali (data breach)

Il titolare deve valutare attentamente la violazione dei dati subita, analizzando e documentando tutte le circostanze a essa relative, le sue conseguenze e i provvedimenti per porvi rimedio.

In fase di valutazione particolare attenzione deve essere prestata al rischio derivante dalla violazione per i diritti e le libertà delle persone fisiche cui si riferiscono i dati oggetto di data breach.

Perché è importante la valutazione del rischio?

Se è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (ad esempio per aver adottato tecniche di cifrature tali da escludere qualsiasi rischio), allora non si dovrà effettuare la notifica, ma sarà sufficiente, a fronte del principio di accountability, documentare la violazione subita e motivare le valutazioni per cui si ritiene che la stessa non presenti rischi per i diritti e le libertà delle persone fisiche.

Qualora sia invece probabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, si dovrà effettuare la notifica al Garante privacy (per cui si rinvia al punto 2).

Nel caso di rischi elevati, peraltro, oltre a notificare la violazione subita all’Autorità, il titolare deve informare del data breach anche tutti gli interessati, attraverso apposita comunicazione (per cui si rinvia al punto 3).

Come valutare il rischio?

Nel valutare il rischio derivante da un data breach, il titolare del trattamento deve considerare le circostanze specifiche della violazione, inclusa la gravità dell’impatto potenziale e la probabilità che tale impatto si verifichi.

A tal fine il Gruppo di lavoro, nelle Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679 , raccomanda che la valutazione tenga conto dei seguenti criteri: tipo di violazione; natura, carattere sensibile e volume dei dati personali; facilità di identificazione delle persone fisiche; gravità delle conseguenze per le persone fisiche; caratteristiche particolari dell’interessato; caratteristiche particolari del titolare del trattamento dei dati; numero di persone fisiche interessate; altri aspetti generali.

2. Notifica di una violazione dei dati personali al Garante privacy

In base a quanto previsto dall’art. 33 del Regolamento generale sulla protezione dei dati, in caso di violazione dei dati personali, a meno che sia improbabile che la stessa presenti un rischio per i diritti e le libertà degli interessati, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente.

La notifica deve essere effettuata senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Il Regolamento prevede espressamente che, qualora non si riesca a rispettare tale termine, sia necessario motivare il ritardo.

La notifica deve almeno:

• descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
• comunicare il nome e i dati di contatto del Responsabile della Protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
• descrivere le probabili conseguenze della violazione dei dati personali;
• descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti

La notifica può essere effettuata utilizzando il modello fornito dal Garante privacy.

3. Comunicazione di una violazione dei dati personali all’interessato

In base a quanto stabilito dall’art. 34 del Regolamento UE 2016/679, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento, oltre ad effettuare la notifica al Garante, deve comunicare la violazione all’interessato senza ingiustificato ritardo.

La comunicazione della violazione dei dati all’interessato deve descrivere, con un linguaggio semplice e chiaro, la natura della violazione dei dati personali e contenere almeno:

• il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
• una descrizione delle probabili conseguenze della violazione dei dati personali;
• una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti.

Per comunicare la violazione agli interessati si devono utilizzare messaggi dedicati, che potranno essere inviati tramite email, sms, posta cartacea e altri canali idonei a raggiungere lo scopo.

Nel caso in cui il titolare non provveda a comunicare all’interessato la violazione, l’autorità di controllo, valutata la probabilità che la stessa presenti un rischio elevato, può richiedere al titolare di informare gli interessati.

Attraverso la comunicazione agli interessati, si consente alle persona cui si riferiscono i dati colpiti dalla violazione di venire a conoscenza dell’evento da cui possono derivare rischi elevati per la sua persona.

Proprio considerando la ratio alla base dell’obbligo di comunicazione previsto dall’art. 34 del GDPR si comprende perché, nella citata disposizione, sia espressamente indicato che la comunicazione agli interessati non è dovuta se:

• il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
• il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.

Il citato art. 34 individua poi un’altra ipotesi in cui la comunicazione agli interessati non è dovuta: se la stessa richiederebbe sforzi sproporzionati.

In tal caso però, considerando l’importanza di informare gli interessati della violazione dei dati da cui derivano rischi elevati per i loro diritti e per le  loro libertà, è previsto che dovrà essere effettuata una comunicazione pubblica o adatta comunque a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del titolare).

Chi deve attivarsi nel caso di data breach

Nel caso di data breach spetta al Titolare del trattamento, valutare e documentare la violazione e, nei casi previsti,  attivarsi per effettuare la notifica al Garante privacy e la comunicazione agli interessati.

Se il titolare del trattamento ricorre a un Responsabile del trattamento e quest’ultimo viene a conoscenza di una violazione dei dati personali che sta trattando per conto del titolare, il responsabile deve notificarla al titolare “senza ingiustificato ritardo”, così da consentirgli di far fronte alla violazione e stabilire se dover notificare il data breach al Garante e alle persone fisiche interessate.

Nel contratto tra il titolare del trattamento e il responsabile del trattamento può essere previsto espressamente che sia il responsabile ad effettuare la notifica della violazione.  Occorre però ricordare che, anche in tal caso, la responsabilità legale della notifica rimarrebbe in capo al titolare del trattamento.

Infine, occorre chiedersi quale ruolo abbia, in caso di data breach, il Data protection officer (o Responsabile della protezione dei dati), figura obbligatoria nei casi previsti dall’art. 37 del GDPR.

Il Data protection officer funge da punto di contatto sia per il Garante che per gli interessati, deve cooperare con l’autorità di controllo e svolge attività sicuramente di rilievo in ordine alle violazione dei dati, in quanto tenuto a sorvegliare l’osservanza del regolamento e a fornire un parere in merito alle valutazioni d’impatto sulla protezione dei dati.