Cosa si intende per “violazione di dati personali”
Secondo la definizione contenuta nel GDPR (art. 4, n. 12), la violazione di dati personali è “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Il riferimento è, dunque, a qualsiasi violazione che può derivare da atti illeciti (come nel caso di attacchi esterni da cui derivi un furto dei dati personali) o accidentali (si pensi al dipendente che accidentalmente perda una chiavetta usb o cancelli un data base contenente dati personali).
Cosa fare nel caso di violazione
-
Valutare e documentare la violazione dei dati personali (data breach)
Il titolare deve valutare attentamente la violazione dei dati subita, analizzando e documentando tutte le circostanze a essa relative, le sue conseguenze e i provvedimenti per porvi rimedio.
In fase di valutazione particolare attenzione deve essere prestata al rischio derivante dalla violazione per i diritti e le libertà delle persone fisiche cui si riferiscono i dati oggetto di data breach.
Se è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (ad esempio per aver adottato tecniche di cifrature tali da escludere qualsiasi rischio), allora non si dovrà effettuare la notifica, ma sarà sufficiente, a fronte del principio di accountability, documentare la violazione subita e motivare le valutazioni per cui si ritiene che la stessa non presenti rischi per i diritti e le libertà delle persone fisiche.
Qualora sia invece probabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, si dovrà effettuare la notifica al Garante privacy (per cui si rinvia al punto 2).
Nel caso di rischi elevati, peraltro, oltre a notificare la violazione subita all’Autorità, il titolare deve informare del data breach anche tutti gli interessati, attraverso apposita comunicazione (per cui si rinvia al punto 3).
Come valutare il rischio?
Nel valutare il rischio derivante da un data breach, il titolare del trattamento deve considerare le circostanze specifiche della violazione, inclusa la gravità dell’impatto potenziale e la probabilità che tale impatto si verifichi.
A tal fine il Gruppo di lavoro, nelle Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679 , raccomanda che la valutazione tenga conto dei seguenti criteri: tipo di violazione; natura, carattere sensibile e volume dei dati personali; facilità di identificazione delle persone fisiche; gravità delle conseguenze per le persone fisiche; caratteristiche particolari dell’interessato; caratteristiche particolari del titolare del trattamento dei dati; numero di persone fisiche interessate; altri aspetti generali.
-
Notifica di una violazione dei dati personali al Garante privacy
In base a quanto previsto dall’art. 33 del Regolamento generale sulla protezione dei dati, in caso di violazione dei dati personali, a meno che sia improbabile che la stessa presenti un rischio per i diritti e le libertà degli interessati, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente.
La notifica deve essere effettuata senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Il Regolamento prevede espressamente che, qualora non si riesca a rispettare tale termine, sia necessario motivare il ritardo.
La notifica deve almeno:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del Responsabile della Protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti
La notifica può essere effettuata utilizzando il modello fornito dal Garante privacy.
-
Comunicazione di una violazione dei dati personali all’interessato
In base a quanto stabilito dall’art. 34 del Regolamento UE 2016/679, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento, oltre ad effettuare la notifica al Garante, deve comunicare la violazione all’interessato senza ingiustificato ritardo.
La comunicazione della violazione dei dati all’interessato deve descrivere, con un linguaggio semplice e chiaro, la natura della violazione dei dati personali e contenere almeno:
- il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- una descrizione delle probabili conseguenze della violazione dei dati personali;
- una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti.
Per comunicare la violazione agli interessati si devono utilizzare messaggi dedicati, che potranno essere inviati tramite email, sms, posta cartacea e altri canali idonei a raggiungere lo scopo.
Nel caso in cui il titolare non provveda a comunicare all’interessato la violazione, l’autorità di controllo, valutata la probabilità che la stessa presenti un rischio elevato, può richiedere al titolare di informare gli interessati.
Attraverso la comunicazione agli interessati, si consente alle persona cui si riferiscono i dati colpiti dalla violazione di venire a conoscenza dell’evento da cui possono derivare rischi elevati per la sua persona.
Proprio considerando la ratio alla base dell’obbligo di comunicazione previsto dall’art. 34 del GDPR si comprende perché, nella citata disposizione, sia espressamente indicato che la comunicazione agli interessati non è dovuta se:
- il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
- il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.
Il citato art. 34 individua poi un’altra ipotesi in cui la comunicazione agli interessati non è dovuta: se la stessa richiederebbe sforzi sproporzionati.
In tal caso però, considerando l’importanza di informare gli interessati della violazione dei dati da cui derivano rischi elevati per i loro diritti e per le loro libertà, è previsto che dovrà essere effettuata una comunicazione pubblica o adatta comunque a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del titolare).