La violazione dei dati personali espressamente disciplinata dal Regolamento UE 2016/679 (“GDPR” o il “Regolamento”), consiste in una violazione di sicurezza subìta dal titolare o dal responsabile del trattamento, che comporta, in modo illecito o accidentalmente, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, compromettendo la riservatezza, l’integrità o la disponibilità dei dati personali[1]. A titolo esemplificativo e non esaustivo, un data breach può verificarsi nel caso di accesso o acquisizione dei dati da parte di terzi non autorizzati, oppure in caso di furto o perdita di dispositivi informatici contenenti dati personali, nonché qualora si verificasse l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware. Considerato quanto sopra, gli artt. 33 e 34 del GDPR rubricati, rispettivamente, “Notifica di una violazione dei dati personali all’autorità di controllo” e “Comunicazione di una violazione dei dati personali all’interessato”, prevedono rispettivamente l’obbligo per i titolari del trattamento di: Rispetto al passato, ovvero antecedentemente alla riforma introdotta con il GDPR – quando l’obbligo di notifica della violazione dei dati personali era previsto solo in capo ai fornitori di servizi di comunicazione elettronica accessibili al pubblico ai sensi dell’art. 32 bis del D.lgs. 196/2003[2] – la normativa ad oggi vigente estende l’obbligo di notifica (ove ricorrano i presupposti) a tutti i titolari del trattamento, pena l’applicabilità delle sanzioni pecuniarie previste dall’art. 83, comma 4, lett. a) del GDPR (ovvero sanzioni fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale). Normativa applicabile alle violazioni di dati personali Oltre al GDPR, il quale rappresenta la principale normativa di riferimento in materia di data breach, la tematica è stata oggetto di specifiche linee guida del Working Party 29 (ormai sostituito dall’European Data Protection Board, cd. “EDPB”) e, da ultimo, anche dell’EDPB stesso. In particolare, si fa riferimento alle: Gli adempimenti da porre in essere: notifica al Garante Privacy e comunicazione agli interessati Di seguito, verrà fornito un breve riassunto degli adempimenti che il titolare del trattamento dovrà porre in essere in caso di data breach. Ai sensi dell’art. 33, comma 1 del GDPR, il titolare del trattamento che abbia subito un data breach deve notificare la violazione all’Autorità di controllo competente (in Italia, l’Autorità garante per la protezione dei dati personali, “Garante Privacy” o l’”Autorità”) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Come specificato nelle Line Guida del WP29, il titolare del trattamento deve considerarsi “a conoscenza” nel momento in cui è ragionevolmente certo che si sia verificato un incidente di sicurezza che ha portato alla compromissione dei dati personali[3]. Da tale momento, inizieranno quindi a decorrere le 72 ore entro le quali il titolare del trattamento dovrà effettuare la notifica e, qualora lo stesso non riesca a notificare l’evento entro tale termine, la notifica dovrà essere corredata dei motivi del ritardo. Con riferimento alle informazioni da comunicare all’Autorità tramite la notifica di Data Breach, l’art. 33, comma 3 del GDPR prevede espressamente che il titolare debba fornire: Al fine di agevolare la comunicazione di tutte le informazioni richieste dal GDPR, il Garante Privacy ha predisposto un apposito modello di notifica di violazione dei dati personali, allegato al Provvedimento del 30 luglio 2019 relativo alla notifica delle violazioni dei dati personali emanato dall’Autorità. Tale modello di notifica, attraverso specifiche domande, ha la funzione di supportare e guidare il titolare del trattamento nella compilazione della notifica da inoltrare al Garante Privacy, così da fornire le informazioni necessarie e richieste dall’art. 33 del GDPR. In ogni caso, è importante segnalare che il Regolamento non prevede la notifica di qualsiasi violazione di dati personali subìta, ma solo di quelle che possano avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale. Alla luce di quanto sopra, il titolare del trattamento, di volta in volta, sarà chiamato ad effettuare, in ottemperanza del principio di accountability di cui agli artt. 5 e 24 del GDPR, specifiche valutazioni sull’esistenza di un rischio o di un rischio elevato per i diritti e le libertà degli interessati, sulla base della quale si renderà chiara la necessità (o meno) di notificare l’evento al Garante Privacy. Contrariamente, nel caso in cui sia il responsabile del trattamento ad aver subìto una violazione, quest’ultimo sarà tenuto, ai sensi dell’art. 33, comma 2 del GDPR ad informare tempestivamente il titolare affinché lo stesso possa prontamente procedere con le opportune valutazioni e, eventualmente, procedere alla notifica di cui sopra. In ogni caso, il titolare del trattamento, a prescindere dalla notifica al Garante Privacy, ha il dovere di documentare tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consentirà al Garante Privacy, in caso di ispezione, di effettuare eventuali verifiche sul rispetto degli obblighi previsti dal Regolamento. Oltre agli adempimenti di cui sopra, il Regolamento impone altresì al titolare del trattamento specifici obblighi di comunicazione agli interessati nel caso in cui la violazione subita comporti un rischio elevato per i loro diritti e libertà. Ai sensi dell’art. 34 del GDPR, è previsto infatti che gli stessi debbano essere prontamente informati dal titolare attraverso una comunicazione veicolata tramite i canali più idonei (quali, a titolo esemplificativo, messaggi di posta elettronica, SMS, banner o notifiche su siti web di primo piano, comunicazioni postali e pubblicità di rilievo sulla stampa) ad eccezione del caso in cui il titolare abbia già adottato e attuato misure idonee a ridurre i predetti rischi. Il medesimo articolo disciplina altresì il contenuto della comunicazione, la quale dovrà contenere almeno le seguenti informazioni: L’obiettivo principale, perseguito con la comunicazione agli interessati, è quello di fornire loro informazioni specifiche in merito ai provvedimenti da porre in essere per proteggersi da eventuali conseguenze negative derivanti dalla violazione di dati personali subita dal titolare (ad esempio, modificare le credenziali di accesso). Tuttavia, non tutte le violazioni dovranno essere comunicate agli interessati. In particolare, l’art. 34, comma 3 del GDPR indica chiaramente le specifiche circostanze nelle quali non è richiesta la comunicazione agli interessati, ovverossia nel caso in cui: In ogni caso, anche le valutazioni sottese alla necessità di effettuare una comunicazione agli interessati sono rimesse all’accountability del titolare. Il nuovo servizio del Garante Privacy per supportare i titolari e i responsabili del trattamento negli adempimenti imposti dal GDPR Alla luce della complessità della tematica, soprattutto in considerazione degli adempimenti e delle valutazioni cui sono soggetti i titolari del trattamento ai sensi dell’art. 33 e 34 del GDPR, lo scorso 23 dicembre 2020, l’Autorità ha reso disponibile un nuovo servizio volto a supportare i titolari del trattamento negli adempimenti imposti dal GDPR in caso di violazione di dati personali (“Servizio”). In particolare, l’Autorità ha pubblicato una specifica pagina web sul proprio sito internet attraverso la quale è possibile reperire le seguenti informazioni: La procedura di Self-Assessment elaborata dall’Autorità e destinata ai titolari del trattamento, consiste in uno strumento di autovalutazione per individuare le azioni da intraprendere a seguito di una violazione dei dati personali. Questo strumento, articolato su semplici domande supportate da chiare spiegazioni della normativa applicabile, nonché da esempi pratici, ha lo scopo di far comprendere al titolare del trattamento se, effettivamente, la situazione da esso esaminata possa considerarsi un data breach. In base alle risposte fornite, il Self-Assessment suggerirà – di volta in volta – le opportune azioni da porre in essere quali, ad esempio, la notifica o meno all’Autorità, nonché la necessità o meno di effettuare una comunicazione agli interessati. Si segnala tuttavia che, considerando che tutti gli adempimenti previsti dal GDPR devono essere posti in essere nel rispetto del principio di accountability, il Garante Privacy ha affermato che, in nessun modo, il Self-Assessment si sostituirà alle specifiche valutazioni che il titolare è chiamato a svolgere in caso di violazioni di dati personali e che, al contrario, tale strumento è da considerarsi esclusivamente come un ausilio al processo decisionale del titolare del trattamento. [1] Art. 4, n. 12) del GDPR. [2] Tale articolo è stato abrogato dal D.lgs. 101/2018. [3] Cfr. Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679 del Working Party 29, p. 11 e ss.
