LA NOTIFICA DI PERDITA DATI NELLA NORMATIVA GDPR (DATA BREACH NOTIFICATION)

Come accennato nella nostra pagina dedicata alla normativa GDPR ci sono regole severe per quanto riguarda le notifiche di violazione dei dati personali (data breach notification). Questi obblighi sono contemplati in diversi articoli nel testo finale della GDPR e ritornano più volte nei commenti alla disciplina. Segno che, essendo questo l'esito più grave nel trattamento dei dati personali, la violazione in questione è rilevante sotto ogni profilo.

La perdita di dati personali: i rischi

Ovviamente una violazione dei dati personali è una delle cose peggiori che può accadere a tutti noi: consumatori o interessati, per usare il linguaggio ufficiale GDPR, e organizzazioni/aziende (interessate o meno dalla disciplina).

Con il termine data breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato.

Solitamente il data breach si realizza con una divulgazione di dati riservati o confidenziali all'interno di un ambiente privo di misure di sicurezza (da esempio, su web) in maniera involontaria o volontaria.

  Perdita accidentale: ad esempio, data breach causato da smarrimento di una chiavetta USB contenente dati riservati.

  Furto: ad esempio, data breach causato da furto di un notebook contenente dati confidenziali.

  Infedeltà aziendale: ad esempio, data breach causato da una persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia distribuita in ambiente pubblico.

  Accesso abusivo: ad esempio, data breach causato da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite.

Una violazione dei dati personali può essere definita in senso lato come un incidente di sicurezza che ha compromesso la riservatezza, l'integrità o la disponibilità dei dati personali. In breve, ci sarà una violazione dei dati personali ogni volta che i dati personali vengono persi, distrutti, corrotti o divulgati, se qualcuno accede ai dati o li trasmette senza la debita autorizzazione, o se i dati sono resi non disponibili, ad esempio, quando sono stati crittografati da ransomware, o accidentalmente persi o distrutti.

L'articolo 87 della GDPR chiarisce che, in caso di incidente di sicurezza, è necessario stabilire rapidamente se si è verificata una violazione dei dati personali e, in caso affermativo, adottare tempestivamente misure per porvi rimedio.

Il GDPR introduce l'obbligo per tutte le organizzazioni di segnalare determinati tipi di violazione dei dati personali all'autorità di controllo competente, nel nostro paese il Garante per la Privacy. È necessario farlo entro 72 ore dal momento in cui si è venuti a conoscenza della violazione, se possibile.

Se la violazione può comportare un rischio elevato di ledere i diritti e le libertà delle persone, è necessario informare anche tali persone senza indebito ritardo.

È necessario assicurarsi di disporre di solide procedure di rilevamento delle violazioni, di indagine e di segnalazione interna. Ciò faciliterà il processo decisionale in merito alla necessità o meno di informare l'autorità di vigilanza competente e le persone interessate. A questo è preposto il DPO.

È inoltre necessario tenere un registro di tutte le violazioni dei dati personali, indipendentemente dal fatto che si sia tenuti a notificarle o meno. Anche questo è compito del DPO durante l'esercizio delle sue funzioni.

Come prepararsi a una possibile perdita di dati

È compito dell'azienda o dell'organizzazione proteggere i dati personali e prepararsi, eventualmente, a una perdita. L'azienda dev'essere dotata, fin dal principio, di strumenti e dati di analisi che permettono di appurare e verificare la perdita di dati, in modo da procedere tempestivamente alla notifica. I dati vengono considerati come una materia sensibile, la cui conservazione e registrazione prevede sempre dei piani di contenimento in caso di perdita. In astratto il titolare del trattamento dei dati personali e il suo DPO (data protection officer) devono prevedere la perdita di dati e valutare come agire prima che essa avvenga. In particolare, come responsabile del trattamento dei dati personali devo:

1  Sapere identificare riconoscere una violazione dei dati personali, attraverso la supervisione del DPO.

2  Essere consapevole che una violazione dei dati personali non riguarda solo la perdita o il furto di dati personali, ma anche la sicurezza in generale delle persone coinvolte.

3  Avere preparato un piano di risposta per affrontare eventuali violazioni dei dati personali che si verificano nella mia azienda / organizzazione.

4  Aver assegnato la responsabilità della gestione delle violazioni a una persona o a un team dedicato (DPO).

5  Essere certo che il mio personale sappia come comportarsi in caso di perdita di dati, essendo stato preventivamente informato e formato dal DPO (anche se esterno) sulla rilevanza della materia e su cosa fare in caso in incidente.

Cosa fare in caso di perdita di dati, il data breach

In caso di perdita di dati, all'interno della struttura è già presente come consulente interno o esterno una figura in grado di fare un'indagine appropriata e mettere in atto tutte le operazioni richieste dal regolamento GPDR per affrontare il problema. Come DPO e in senso lato, nella figura del titolare del trattamento dei dati, devo:

1  Aver messo in atto un processo per valutare il rischio probabile per le persone a seguito di una violazione.

2  Conoscere a chi rivolgermi in casi come questi, sapendo chi è l'autorità di controllo competente per il trattamento dei dati e la tutela della privacy.

3  Aver preparato un atto di notifica al Garante, a seguito di una violazione, entro 72 ore dal momento in cui ne vengo a conoscenza, anche se non dispongo ancora di tutti i dettagli.

4  Sapere quali informazioni devo fornire al Garante in merito a una violazione.

5  Disporre di un processo dettagliato che mi consente di informare le persone interessate da una violazione, quando questa può comportare un alto rischio per i suoi diritti e le sue libertà.

6  Informare le persone colpite senza indebito ritardo.

7  Sapere già come procedere per proteggere ulteriormente le persone colpite dalla perdita di dati.

8  Documentare tutte le violazioni, anche se non tutte devono essere segnalate.

Che informazioni deve contenere la notifica sulla perdita dei dati

-  le categorie e il numero approssimativo di individui interessati (esempio: pazienti di ospedale);

-  le categorie e il numero approssimativo delle registrazioni di dati personali interessate (esempio, dati relativi ad esami clinici);

-  il nome e le informazioni di contatto del responsabile della protezione dei dati (se l'organizzazione ne dispone) o del consulente esterno presso il quale è possibile ottenere ulteriori informazioni;

-  una descrizione delle probabili conseguenze della violazione dei dati personali;

-  una descrizione delle misure adottate o che ci si propone di adottare per far fronte alla violazione dei dati personali, comprese, nel caso, le misure adottate per attenuare gli eventuali effetti negativi (ad esempio aver tempestivamente informato i soggetti colpiti per modificare le password, o modificare i sistemi di difesa degli archivi).

Nel caso in cui non si disponga di strumenti adeguati all'indagine e per una descrizione approfondita dell'evento, è comunque necessario informare il Garante, prospettando dopo le 72 ore un supplemento di informazioni.

Quali informazioni fornire ai soggetti colpiti dalla violazione

È necessario descrivere, in modo chiaro, la natura della violazione dei dati personali e almeno fornire:

1  il nome e le informazioni di contatto del responsabile della protezione dei dati (se l'organizzazione ne dispone) o del consulente esterno incaricato presso il quale è possibile ottenere ulteriori informazioni;

2  una descrizione delle probabili conseguenze della violazione dei dati personali;

3  una descrizione delle misure adottate o che ci si propone di adottare per far fronte alla violazione dei dati personali, comprese le misure adottate per attenuare le eventuali conseguenze negative.

Cosa succede in caso di mancata notifica del data breach

Per l'Unione Europea la custodia dei dati personali implica un accrescimento delle responsabilità in seno all'azienda / organizzazione. Non è un caso che le pene siano severe. Come dimostrano i casi di cronaca, le perdite di dati possono essere accidentali o riguardare la manipolazione a fini di lucro o di mero abuso di potere.

Pertanto, la mancata notifica di una violazione, quando richiesta, può comportare una multa significativa fino a 10 milioni di euro o il 2 per cento del fatturato globale. L'ammenda può essere cumulata con gli altri poteri correttivi del Garante ai sensi dell'articolo 58. Perciò, è importante assicurarsi di disporre di un solido processo di segnalazione delle violazioni per garantire il rilevamento e la tempestiva notifica delle violazioni e per fornire i dettagli necessari.