Qualsiasi persona fisica può accedere ai dati che la riguardano: vediamo come fare

Tutte le organizzazioni che elaborano i dati personali devono disporre di misure per prevenire violazioni dei dati e rispondere in modo appropriato in caso di incidente. Gli obblighi previsti dal GDPR mirano a evitare che una violazione possa arrecare danno o pregiudizio alle organizzazioni e ai soggetti interessati. 

I nuovi obblighi in materia di data breach previsti dagli articoli 33 e 34 del GDPR, specificano l’obbligo generale di sicurezza che deve essere rispettato dalle organizzazioni che trattano dati personali. 

In base a questo principio essenziale, queste organizzazioni devono mettere in atto misure volte a:

• prevenire qualsiasi violazione dei dati;
• reagire adeguatamente in caso di violazione, vale a dire porre fine alla violazione e minimizzarne gli effetti.

Tali disposizioni mirano a preservare sia:

• titolari del trattamento: al fine di tutelare il proprio patrimonio informativo, in particolare consentendo loro di mettere al sicuro i propri dati;
• le persone interessate dalla violazione: al fine di evitare che causi loro danno o pregiudizio, in particolare consentendo loro di adottare le precauzioni necessarie in caso di incidente. 

Si raccomanda pertanto alle organizzazioni che trattano i dati personali (titolare o responsabile del trattamento) di pianificare e attuare procedure complete per le violazioni dei dati personali. Tali procedure devono coprire l’intero processo: l’attuazione di misure volte a rilevare immediatamente una violazione, contenerla tempestivamente, analizzare i rischi generati dall’incidente e determinare se sia opportuno avvisare l’autorità di controllo, o anche gli interessati. Tali procedure concorrono quindi alla documentazione della conformità al GDPR.

Che cos’è una violazione dei dati?

L’ articolo 4(12) del GDPR definisce una violazione dei dati personali una violazione della sicurezza che comporti la distruzione, la perdita, l’alterazione accidentale o illecita, la divulgazione non autorizzata dei dati personali trasmessi, archiviati o altrimenti elaborati, o l’accesso non autorizzato a tali dati.

Si tratta di qualsiasi incidente di sicurezza, di origine dannosa o meno e che si verifica intenzionalmente o meno, con la conseguenza di compromettere l’integrità, la riservatezza o la disponibilità dei dati personali.

Esempi:

• cancellazione accidentale di dati medici detenuti da una struttura sanitaria e non altrimenti sottoposti a backup;
• perdita di una chiave USB non protetta contenente una copia del database clienti di un’azienda;
• ingresso dannoso in un database scolastico e modifica dei risultati ottenuti dagli studenti.

Chi è interessato

Tutte le organizzazioni, pubbliche e private, indipendentemente dalle loro dimensioni, sono soggette a questi obblighi non appena trattano dati personali e vengono a conoscenza di una violazione dei dati personali. Non sono più riservati, come prima del GDPR, ai soli fornitori di servizi di comunicazione elettronica.

I subappaltatori, che trattano dati personali per conto di un organismo responsabile del trattamento, hanno anche obblighi in materia di violazione: devono in particolare avvisare l’organizzazione di qualsiasi incidente di sicurezza il prima possibile, affinché possano adempiere ai propri obblighi.

Quali sono i principali obblighi di violazione dei dati?

PER GLI INTERESSATI, LA VIOLAZIONE GENERA:	NESSUN RISCHIO	UN RISCHIO	ALTO RISCHIO
Documentazione interna , nel “Registro delle violazioni”	X	X	X
Notifica alla Garante, entro un massimo di 72 ore	–	X	X
Informazione delle persone interessate il prima possibile, salvo casi particolari	–	–	X

Sono previste esenzioni dall’obbligo di informare gli interessati?

Sì: in caso di violazione che comporti un rischio elevato, sono previste deroghe all’obbligo di informare le persone. Questi sono i seguenti casi:

1. i dati personali interessati dalla violazione in questione, sono protetti da idonee misure di protezione tecnica e organizzativa e risultano quindi incomprensibili a chiunque non sia autorizzato ad accedervi;

(Esempio: i dati sono stati sottoposti ad una misura di cifratura all’avanguardia, la cui chiave non è stata compromessa ed è stata generata in modo tale da non poter essere ritrovati, con nessun mezzo tecnologico esistente, da qualcuno che non sia autorizzato ad usarlo)

1. il responsabile del trattamento ha successivamente adottato misure atte a garantire che l’elevato rischio per i diritti e le libertà delle persone, non sia più probabile che si concretizzi;

(Esempio: le password dei dipendenti con accesso a un database sensibile sono state rubate, ma non sono state utilizzate e sono state reimpostate)

• comunicare la violazione alle persone colpite richiederebbeuno sforzo sproporzionato;

(Esempio: il titolare del trattamento non dispone di alcuna informazione che consenta di contattare gli interessati: in tal caso deve essere effettuata una comunicazione pubblica, o un provvedimento analogo che consenta di informare gli interessati in modo altrettanto efficace).

Cosa deve contenere il “registro violazione dei dati”

La documentazione dovrebbe registrare i fatti relativi alla violazione dei dati personali, i suoi effetti e le misure adottate per porvi rimedio. Può essere controllato dal Garante, al fine di verificare il rispetto degli obblighi in materia di violazioni.

In pratica si consiglia ai titolari del trattamento di elencare tutti gli elementi relativi alle violazioni e di fare affidamento sul modulo di notifica messo online dal Garante. Tale modulo può infatti fungere da framework per la documentazione interna, che può quindi costituire uno strumento unico per gestire la compliance al GDPR in termini di violazioni. 

Il registro delle violazioni deve contenere in particolare i seguenti elementi:

• la natura della violazione;
• le categorie e il numero approssimativo di interessati;
• le categorie e il numero approssimativo di file interessati;
• le probabili conseguenze della violazione;
• le misure adottate per porre rimedio alla violazione e, se necessario, per limitare le conseguenze negative della violazione;
• ove applicabile, la motivazione dell’assenza di notifica al Garante o di informazione agli interessati.

Cosa deve essere notificato all’autorità di controllo

La notifica avviene tramite un sito dedicato , che guida il dichiarante nel suo approccio.

La documentazione dovrebbe registrare i fatti relativi alla violazione dei dati personali, i suoi effetti e le misure adottate per porvi rimedio. Può essere controllato dal Garante al fine di verificare il rispetto degli obblighi in materia di violazioni.

In pratica si consiglia ai titolari del trattamento di elencare tutti gli elementi relativi alle violazioni e di fare affidamento sul modulo di notifica messo online dal Garante. Tale modulo può infatti fungere da framework per la documentazione interna, che può quindi costituire uno strumento unico per gestire la compliance al GDPR in termini di violazioni. 

Il registro delle violazioni deve contenere in particolare i seguenti elementi:

• la natura della violazione;
• le categorie e il numero approssimativo di interessati;
• le categorie e il numero approssimativo di file interessati;
• le probabili conseguenze della violazione;
• le misure adottate per porre rimedio alla violazione e, se necessario, per limitare le conseguenze negative della violazione;
• ove applicabile, la motivazione dell’assenza di notifica al Garante o di informazione agli interessati.

Cosa si deve comunicare agli interessati

La comunicazione agli interessati deve almeno contenere ed esporre, in termini chiari e precisi, i seguenti elementi:

• la natura della violazione;
• le probabili conseguenze della violazione;
• i dati di contatto della persona da contattare (DPO o altro);
• le misure adottate per sanare la violazione e, se necessario, per limitare le conseguenze negative della violazione.

Deve essere integrato, ove necessario, con raccomandazioni alle persone per mitigare i potenziali effetti negativi della violazione e consentire loro di prendere le dovute precauzioni.

Esempi di consigli: cambiare la password degli utenti di un servizio, controllare l’integrità dei dati nel loro account online, salvare questi dati su un supporto personale.

Quando dovresti avvisare il Garante?

La notifica deve essere effettuata il prima possibile e non oltre 72 ore dopo che il titolare del trattamento ne è venuto a conoscenza.

In pratica, il punto di partenza di questo periodo è quando il titolare del trattamento ha un ragionevole grado di certezza che si è verificato un incidente e che ha influito sui dati personali. Ciò implica che ha messo in atto misure per rilevare le violazioni e che conduca indagini il prima possibile per ottenere tale ragionevole certezza. Durante questa fase istruttoria, si ritiene che il titolare del trattamento non sia a conoscenza della violazione.

Esempi di situazioni in cui il titolare del trattamento deve ritenersi informato della violazione:

1. in caso di smarrimento di una chiavetta USB contenente dati personali, quando si accorge dello smarrimento della chiave;
2. una terza parte informa il responsabile del trattamento di aver ricevuto un’e-mail con informazioni su un’altra persona e fornisce prova di ciò;
3. non appena un criminale informatico contatta il titolare del trattamento e gli comunica che potrebbe aver rubato dati dai server dell’azienda, dopo aver verificato tali informazioni.

È necessario disporre di tutte le informazioni per denunciare la violazione

È ovviamente importante garantire, se necessario attraverso le indagini iniziali, che si sia effettivamente verificata una violazione e determinarne il livello di gravità. 

La natura e l’origine dell’incidente devono quindi essere presunte o accertate prima di denunciare la violazione al Garante.

Qualora, invece, il titolare del trattamento non disponga di tutte le informazioni che devono essere portate a conoscenza dell’autorità di controllo, tali informazioni possono essere comunicate al momento in cui ne ha conoscenza.

In pratica, deve fare quanto prima una prima comunicazione al Garante, attraverso il sito Web  messo a disposizione a tal fine, che poi completerà con l’ausilio di una comunicazione aggiuntiva. Ciò gli consentirà di svolgere le ulteriori indagini necessarie per identificare tutte le informazioni. Questa notifica aggiuntiva deve avvenire, se possibile, entro un massimo di 72 ore.

Cosa devo fare se il periodo di notifica di 72 ore viene superato?

Il titolare del trattamento deve comunque segnalare la violazione che comporti un rischio per i diritti e le libertà delle persone. In caso di superamento di tale termine, i motivi che giustificano il ritardo nella notifica, devono essere indicati al Garante.

In pratica, al titolare del trattamento sarà chiesto, direttamente nel servizio di notifica online, di motivare i motivi di tale ritardo.

Qual è il ruolo del responsabile del trattamento in caso di violazione dei dati?

Il responsabile del trattamento è tenuto a notificare al titolare del trattamento qualsiasi violazione dei dati non appena possibile, dopo averne avuto conoscenza. Ciò consente al titolare del trattamento di adempiere ai suoi vari obblighi in materia di violazione dei dati.

In pratica, è opportuno prevedere nel contratto che vincola il subappaltatore al responsabile del trattamento, un obbligo in tal senso a carico del subappaltatore.

L’obbligo di notifica all’autorità di controllo può essere affidato al responsabile del trattamento?

Sì. Il titolare del trattamento può chiedere al responsabile del trattamento di agire per suo conto affinché quest’ultimo notifichi la violazione all’autorità di controllo, se il titolare del trattamento ritiene che la violazione in questione possa presentare un rischio per gli interessati.

Ciò non esclude quindi né l’obbligo imposto al subappaltatore di informare il titolare del trattamento di eventuali violazioni dei dati, né gli obblighi propri del titolare del trattamento: quest’ultimo deve aggiornare il proprio registro delle violazioni e mantenere il controllo sulla decisione di notificare o meno l’autorità di vigilanza (a seconda del livello di rischio stimato).

Come valutare l’assenza di rischio, il rischio e l’alto rischio

Tale valutazione deve essere effettuata caso per caso dal titolare del trattamento e deve tenere conto dei seguenti elementi:

1. il tipo di violazione (che pregiudica l’integrità, la riservatezza o la disponibilità dei dati);
2. la natura, la sensibilità e il volume dei dati personali interessati;
3. la facilità di identificazione delle persone interessate dalla violazione;
4. le possibili conseguenze di questi per le persone;
5. le caratteristiche di queste persone (bambini, persone vulnerabili, ecc.);
6. il volume delle persone interessate;
7. le caratteristiche del titolare del trattamento (natura, ruolo, attività).

Esempi di situazioni in cui non vi è alcun rischio che giustifichi la notifica al Garante o agli interessati: la divulgazione di dati diffusi già resi pubblici; cancellazione dei dati di backup e immediatamente ripristinati; la perdita di dati protetti da un algoritmo di crittografia all’avanguardia, se la chiave di crittografia non viene compromessa e se rimane disponibile una copia dei dati.

Quali sono i poteri del Garante in materia di violazione dei dati

Il Garante ha due missioni principali in termini di violazione dei dati:

• un ruolo di supporto ai titolari del trattamento: la finalità della notifica all’autorità di controllo è in particolare quella di consentire di raccogliere dal Garante, eventuali pareri e osservazioni in merito alle misure di sicurezza da attuare, per porre fine alla violazione o per minimizzarne gli effetti; consente inoltre di verificare se sono necessarie informazioni delle persone e, in tal caso, di ottenere indicazioni sulle modalità di tale richiesta.
• un ruolo di monitoraggio del rispetto degli obblighi dei titolari del trattamento: Il Garante può vigilare sul rispetto di tutti questi obblighi (registrazione, verifica del livello di rischio, rispetto delle scadenze e del contenuto delle notifiche, ecc.) e, se necessario, sanzionare le organizzazioni interessate. Può inoltre ordinare al titolare del trattamento di comunicare una violazione dei dati agli interessati, qualora lo ritenga necessario.

In entrambi i casi, è probabile che l’esame del Garante riguardi, al di là della sola violazione in questione, il livello di sicurezza generale del trattamento che la violazione può rivelare.