Dell EMC Forum
 

04/08/2017

Share    

Giuseppe Serafini

Data Breach Notification

Tutte le informazioni utili sulla disciplina della notifica delle violazioni in materia di protezione dei dati personali. GDPR compreso.

I recenti episodi di diffusione massiva di ransomware (Wannacry e Petya) realizzati sfruttando vulnerabilità non aggiornate dei sistemi operativi Windows, oltre a provocare un notevole allarme sociale, correlato alle gravi conseguenze pregiudizievoli derivanti dalla potenziale perdita di dati nella disponibilità delle organizzazioni colpite, ha portato all’attenzione degli operatori la necessità di confrontarsi sin da ora, e in futuro in seguito all’applicazione del GDPR, in ogni circostanza con gli obblighi di Data Breach Notification. In questo sintetico contributo si cercherà di illustrare quali siano state le principali norme che, a partire dalle leggi applicabili in Italia sino a giungere alle più recenti norme comunitarie, hanno sancito le modalità, i soggetti e i casi in cui tale importante adempimento deve essere perfezionato.

Telco data breach notification
In effetti, la disamina sistematica delle norme vigenti nel nostro Paese, in materia di notifica delle violazioni sui dati personali, consente di constatare che giá l’attuale Codice Privacy, con riferimento esclusivo ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, prevede in capo a questi ultimi, all’art. 32 bis, l’obbligo di comunicare senza indebiti ritardi al Garante per la protezione dei dati personali la violazione stessa, mediante apposita modulistica. La stessa norma, analogamente a quanto previsto nel testo del Regolamento Comunitario citato impone, nello specifico, di comunicare al contraente (i.e. interessato), la violazione nei casi in cui quest’ultima rischi di arrecare pregiudizio alla sua riservatezza o ai suoi dati personali. A completare il quadro, la lettera gbis) dell’art. 4 del Codice privacy, come modificato dal D. Lgs. 28 maggio 2012 nr. 69, definisce come violazione di dati personali, nel contesto della fornitura di servizi di comunicazione accessibili al pubblico, la violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati.

Dossier sanitario, biometria e Pubblica Amministrazione
Più recentemente, sono intervenuti in argomento, in ambito nazionale e sancendo di volta in volta le varie modalità attraverso le quali l’obbligo di notificazione della violazione deve essere perfezionato, alcuni provvedimento del Garante Privacy per esempio in materia di dati biometrici, Dossier Sanitario e scambio di dati personali tra amministrazioni pubbliche. L’esame del contenuto dei vari provvedimenti citati consente di rilevare come, anche in considerazione del quadro sanzionatorio applicabile, in caso di inosservanza, che prevede sanzioni pecuniarie di importo assai rilevante, tale strumento sia ormai divenuto, in relazione agli specifici trattamenti ricordati, vera e propria espressione di una legittima facoltà di conoscere gli accadimenti relativi ai propri dati, riconosciuta anche all’interessato nella sua veste di portatore di diritti di rango costituzionale, dall’ordinamento interno.

GDPR & data breach notification
Il GDPR in modo assai chiaro esprime in modo inequivoco, per tutti i settori, la sussistenza di un generale obbligo di notificare una violazione di dati personali sia nei confronti dell’Autorità di controllo sia, in determinati casi, nei confronti dell’interessato. Questo sin dal considerando nr. 85, sul presupposto che una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche. Come per esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Si prevede in particolare che il titolare del trattamento, non appena viene a conoscenza di una avvenuta violazione dei dati personali, debba notificare la violazione stessa all’Autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. A meno che non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrà essere corredata delle ragioni del ritardo e le informazioni dovranno essere fornite in fasi successive senza ulteriore ingiustificato ritardo. Il regolamento prevede altresì che il titolare del trattamento debba comunicare, questa volta all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione deve descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi.

Incident response, digital forensics e contenuto della notifica
Un aspetto che pare particolarmente significativo della disciplina generale sopra menzionata, relativa all’obbligo di notifica delle violazioni all’Autorità di controllo è quello relativo ai conte contenuti che la notifica stessa deve avere. Nello specifico, il comma 3 dell’ar t. 33 del Regolamento prevede che, oltre alla comunicazione all’Autorità del nome e dei dati di contatto del responsabile della protezione dei dati o di altro punto di contatto ove l’Autorità possa ottenere maggiori informazioni relativamente alla violazione avvenuta, il Titolare del trattamento sia obbligato a descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione di dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Ma non solo, il successivo comma 5 dell’ar t. 33 esprime di nuovo, declinandone le previsioni per la fattispecie della notifica della violazione dei dati personali, il generale principio di accountability (responsabilizzazione) già formulato nel testo dell’art. 24 precisando, anche in questo caso espressamente, che il titolare del trattamento documenti qualsiasi violazione dei dati, comprese le circostanze a essa relative, le sue conseguenze e provvedimenti adottati per porvi rimedio.

Le sanzioni
Anche per la violazione delle norme appena citate, trovano applicazione le pesanti conseguenze sanzionatorie che caratterizzano il nuovo assetto delineato dal Regolamento che prevede, al comma 4 dell’art. 83, la possibile applicazione di sanzioni amministrative pecuniarie fino a euro 10.000 o, per le imprese, fino al 2% del fatturato mondiale annuo.

 

TORNA INDIETRO >>