Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter

Come si notifica un Data Breach al Garante

19/06/2019
Fabio Marinello
Nello scorso articolo abbiamo esaminato alcuni metodi da utilizzare al fine di valutare i rischi per gli interessati e il correlato obbligo di procedere alla notifica in caso di Data Breach. Vediamo ora come fare appunto la notifica ai sensi dell’Art. 33 del GDPR, nell’infausta eventualità che sulla base della valutazione svolta si sia rilevato sussistente tale obbligo.

MODALITÀ DI NOTIFICA

Dando uno sguardo al panorama europeo (e ricordando che una violazione deve essere segnalata all’autorità competente a seconda del luogo in cui sia avvenuta), troviamo sostanzialmente 3 modalità di gestione da parte delle singole  Autorità.

  1. Una minoranza di paesi, come la Repubblica Ceca, richiede unicamente di inviare un documento di notifica tramite e-mail, senza offrire altro materiale di supporto. Allo stato attuale ( giugno 2019), le indicazioni ufficiali del Garante italiano sono appunto quelle di trasmettere il documento all’indirizzo protocollo@pec.gpdp.it, ma non escludiamo che in futuro l’autorità italiana possa predisporre altre modalità. In particolare, sembra che sia in preparazione un fac-simile italiano per l’invio della notifica (per tutte le indicazioni ufficiali si veda https://www.garanteprivacy.it/regolamentoue/databreach).
  2. La maggior parte dei paesi (tra cui Austria, Belgio, Crozia, Cipro, Estonia, Grecia, Lituania, Slovenia, Malta e Lussemburgo), infatti, ha già pubblicato dei fac-simili o dei modelli da compilare e inviare per e-mail.
  3. Infine, alcuni paesi (tra cui Danimarca, Finlandia, Francia, Germania - con modalità lievemente diverse a seconda dello specifico stato federale -, Ungheria, Irlanda, Lituania, Olanda, Spagna, Slovacchia, Polonia, Portogallo) hanno predisposto dei moduli o form online con vari livelli di supporto interattivo e assistenza nella segnalazione offrendo, ad esempio, strumenti di autovalutazione della stessa o distinguendo necessità particolari come nel caso di notifiche da parte delle società di servizi di telecomunicazione o provider di servizi Internet.

Segnaliamo a tal proposito una tabella a cura di IAPP in cui sono riportati i link alle modalità di notifica delle principali autorità Garanti.

Per quanto riguarda l’Italia ,si ricorda che rispetto all’obbligo di notifica di breach il Garante italiano aveva già predisposto un facsimile di notifica per i breach all’interno della gestione di Dossier Sanitari e un Modello destinato ai fornitori di servizi di comunicazione elettronica per la comunicazione dei casi di violazione dei dati personali (data breach). Entrambi i documenti sono disponibili sul sito del Garante.

Tornando alla modalità di notifica, l’elemento temporale delle violazioni di dati riveste un’importanza particolare.

Tra i contenuti della notifica dovranno infatti essere presenti i tre seguenti campi:

  1. Data e ora della notifica stessa
  2. Data e ora in cui il Titolare del trattamento è venuto a conoscenza della violazione
  3. Data e ora della violazione (se diversa dalla precedente, e ove si disponga di tale informazione)

Com’è noto, il Reg. 2016/679 stabilisce che il Titolare del trattamento deve notificare all’Autorità le violazioni di dati che comportino un rischio per i diritti e le libertà delle persone fisiche entro 72 ore dal momento in cui ne venga a conoscenza. Come riportato dal Gruppo di lavoro Art. 29, occorre considerarsi “a conoscenza” di una violazione a partire dal momento in cui si è ragionevolmente certi della compromissione dei dati personali.

Ovviamente, il momento esatto dipenderà dalle circostanze. È perciò opportuno dare evidenza, all’interno della notifica, della modalità di presa di coscienza, indicando, a titolo d’esempio, chi (incaricati, responsabili o altri soggetti) e come, in primis, abbia sospettato, rilevato o segnalato l’incidente.

Si sconsiglia, comunque, di prendere tale flessibilità come una scusante per sottovalutare i sospetti di violazione o concedersi ritardi nella raccolta di informazioni, e ciò, soprattutto, in considerazione del fatto che dimostrando una modalità di gestione diligente, ci si risparmierà il ben più oneroso compito di giustificare i motivi del ritardo. Qualora si sforino le 72 ore, infatti, scatta l’ulteriore obbligo di fornire le motivazioni del ritardo, che occorrerà appunto giustificare in ampio dettaglio (ad es. offrendo ogni possibile documentazione di supporto, evidenza e convalida) per evitare di incorrere in una procedura per infrazione dei tempi massimi di notifica all'autorità Garante.

Riuscire a rispettare la scadenza, ad ogni modo, non dovrebbe essere un problema, a patto che sia stata correttamente predisposta e applicata un’efficace procedura di gestione del Data Breach.

CONTENUTI DELLA NOTIFICA

Descrizione della violazione

Il documento di notifica inviato all’Autorità Garante dovrà descrivere la violazione considerando gli elementi che seguono.

  • La natura della violazione

Sarà qui innanzitutto opportuno descrivere in sintesi l’architettura dei sistemi di trattamento informatici o manuali oggetto della violazione. Il Titolare del trattamento dovrà poi specificare se la violazione abbia impatto sulla riservatezza, sull’integrità, sulla disponibilità dei dati (o su un insieme delle stesse). Potrà quindi riportare tutti gli ulteriori dettagli in suo possesso, tra cui quelli relativi al luogo in cui si è verificata la violazione, ai fatti e agli agenti scatenanti (ad es. smarrimento di dispositivi portatili di supporto, azione deliberata da parte di soggetti criminosi interni o esterni all’organizzazione, problemi tecnici, cause naturali, ecc.), nonché ai soggetti che si ipotizza siano coinvolti nella violazione.

  • Le categorie e il numero di interessati in questione

Appare evidente che, a seconda delle circostanze, in molti casi non sarà possibile individuare con esattezza il numero degli interessati i cui dati sono stati violati. Laddove possibile, si suggerisce comunque di ipotizzare una cifra approssimata o di articolare in modo quanto più dettagliato possibile la categoria degli interessati coinvolti per permettere all'Autorità di effettuare una valutazione appropriata. Si ricorda poi che, qualora non immediatamente disponibili, gli elenchi completi degli interessati coinvolti potranno essere integrati in un secondo tempo con ulteriori comunicazioni aggiuntive.

Se del caso, si suggerisce poi di evidenziare il fatto che la violazione possa coinvolgere anche interessati di altri paesi europei, per permettere di allertare le appropriate autorità nazionali di competenza.

  • Le categorie di dati e il numero di registrazioni dei dati in questione

Il contenuto di questo campo risulta un elemento chiave per agevolare l’Autorità e permetterle di effettuare una rapida valutazione della gravità della situazione. Nei limiti del possibile, sarà bene specificare le categorie di dati personali violati (comuni, particolari, giudiziari, relativi a minori, ecc.), entrando nel merito delle tipologie di documenti, banche dati, profili o account, elenchi, ecc., che sono stati compromessi.

Conseguenze

Il Titolare del trattamento ha l’obbligo di riportare nella notifica la descrizione delle conseguenze della violazione dei dati personali.

Occorrerà qui considerare sia le conseguenze effettive, sia quelle ragionevolmente prevedibili, esplicitando il livello di gravità della violazione coerentemente con la valutazione svolta. Appare evidente che una violazione di dati afferenti alla salute (o biometrici, o genetici), sarà potenzialmente più grave di una violazione afferente a dati anagrafici. Analogamente, una divulgazione pubblica incontrollata sarà probabilmente più dannosa di una temporanea indisponibilità di dati.

Tenendo conto di questi aspetti, si dovrà mettere in evidenza se la violazione possa provocare agli interessati danni fisici, materiali o immateriali, sociali o reputazionali, economici-finanziari, oppure portare a una limitazione di diritti, discriminazioni, furti o usurpazioni d'identità, ecc.

Contromisure

La notifica di una violazione di sicurezza che coinvolga i dati personali non può prescindere dal descrivere le misure applicate per porre rimedio alla violazione dei dati personali e/o quelle proposte per evitare incidenti simili in futuro.

Ogni episodio di Data Breach dovrebbe quantomeno rendere più consapevoli sull’importanza di un sistema di protezione dei dati basato su una gestione preventiva del rischio. È, quindi, evidente che una descrizione delle misure già adottate risulta assai più interessante di una descrizione delle misure che si intendono adottare. In quest'ultimo caso, occorrerà comunque sempre indicare il tempo entro il quale le misure in questione saranno adottate.

Contatti

Il documento di notifica dovrà contenere ogni indicazione utile per un immediato contatto da parte dell’Autorità garante, e in particolare: l’identità e le coordinate di contatto del Responsabile della Protezione dei Dati (DPO) o di un altro punto di contatto presso cui ottenere più informazioni.

Tale informazione è coerente con quanto previsto dall’Art. 39.1 GDPR, secondo cui il DPO ha il compito di cooperare con l’autorità Garante e fungere da punto di contatto. In assenza di DPO, si dovranno fornire almeno l’identità e numero di cellulare del principale referente per il sistema di gestione dei dati personali dell’organizzazione.




INDICE "RUBRICA DATA BREACH"

Consigli pratici per un'efficace gestione del Data Breach
10 buone pratiche per una registrazione efficace delle violazioni di dati
Data Breach: come valutare il rischio per gli interessati e l’obbligo di notifica?
Come si notifica un Data Breach al Garante