Lexalia Privacy Newsletter

516


Lexalia Privacy Newsletter

 

DATA BREACH e NUOVO REGOLAMENTO PRIVACY
QUANDO SI VERIFICA UNA VIOLAZIONE E QUALI SONO LE CONSEGUENZE?
Cosa accade quando i dati personali vengono attaccati o sono trattati in modo illegittimo? Le conseguenze di un trattamento non-compliant sono solo quelli che derivano dal danno da perdita momentanea o definitiva dei dati, oppure le perdite e le responsabilità di un Titolare del trattamento possono essere ancora più gravi? Cosa è necessario fare in caso di violazione? Il nuovo Regolamento UE n. 679/2016 (“GDPR”, General Data Protection Regulation) fornisce risposte a questi e molti altri quesiti in tema di Data Breach, ovverosia nel caso di violazione di dati personali.

Precisamente, per data breach si intende qualsiasi tipo di attività che comporti una delle seguenti conseguenze:
• perdita del controllo dei dati personali;
• discriminazione;
• furto o usurpazione d’identità;
• perdite finanziarie derivanti da violazione dati;
• decifratura non autorizzata della pseudonimizzazione;
• perdita reputazionale;
• perdita di riservatezza dei dati personali protetti da segreto professionale; e
• qualsiasi altro danno economico o sociale significativo alla persona fisica (data subject).

Tale casistica generale, indicata al considerando 75 del GDPR, può a propria volta includere altre numerose fattispecie, quali attacchi esterni di hacker, ransomware o malware, oppure “errori umani”, come ad esempio la perdita di un laptop o di un cellulare aziendale, l’accesso non autorizzato/cancellazione involontaria di dati da parte di personale interno di un’azienda o di una pubblica amministrazione.

L’episodio pregiudizievole non deve essere nascosto; l’oscuramento di una tale notizia potrebbe infatti amplificare gli effetti dannosi dell’evento, impedendo reazioni pubbliche o dei singoli interessati, aggravando comunque i rischi in capo al Titolare del trattamento, sia a livello sanzionatorio, sia reputazionale.

Considerata l’alta frequenza e probabilità con cui alcuni tra questi fenomeni accadono e continueranno ad accadere in futuro, è bene conoscere nel dettaglio quali azioni e rimedi il nuovo Regolamento Europeo prevede a carico dei Titolari del trattamento.

L’ART. 33 DEL GDPR
L’art. 33 del GDPR ha ufficialmente disciplinato l’obbligo di notificazione di una violazione dei dati personali all’autorità di controllo, i presupposti e le modalità.

Il Titolare del trattamento che abbia conoscenza di una violazione deve procedere, anche tramite delega al Responsabile del trattamento o, in mancanza, ad altra funzione aziendale, la notifica della avvenuta violazione all’Autorità di controllo competente; in Italia, il Garante per la protezione dei dati personali.

La notifica, inoltre, deve essere effettuata entro termini rigorosi:
– entro 72 ore dalla conoscenza del fatto, se possibile;
– oltre 72 ore, con specificazione dei motivi del ritardo.
La notifica è obbligatoria, salvo il caso in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Dimostrare l’improbabilità di un tale rischio per i diritti e le libertà dei data subjects è un onere che ricade sul Titolare del trattamento, in conformità al principio di Accountability sancito dal GDPR, il quale impone sul Titolare (e sul Responsabile del trattamento) la responsabilità di mettere in atto processi, attività, misure tecniche ed organizzative adeguate, dovendo rispondere, in mancanza, al pagamento di sanzioni ed obblighi.

CONTENUTO DELLA NOTIFICA
L’art. 33, par. 3, del GDPR prevede che la notifica destinata al Garante dei dati personali includa:
• la natura della violazione, possibilmente con l’indicazione delle categorie ed il numero di interessati coinvolto, e le categorie ed il numero di registrazioni (!);
• il nome ed i dati di contatto del Data Protection Officer (DPO) o di un altro referente;
• una descrizione delle probabili conseguenze della violazione;
• le misure adottate ed in via d’adozione per rimediare alla violazione o ridurne l’impatto.

La predisposizione della notifica costituisce una imponente sfida per ogni Titolare del trattamento, in quanto la precisa identificazione dei dati violati e la predisposizione di una procedura per la gestione delle violazioni presuppone l’implementazione di policy aziendali che consentano tali processi: una mappatura precisa di ogni database e server aziendale, a livello globale, nonché l’applicazione di metodologie preimpostate per la gestione dell’attacco subìto. Solo poche aziende, ad oggi, possono dire di avere già adottato tali precauzioni e accorgimenti.

Inoltre, ai sensi dell’art. 34 del GDPR, qualora la violazione possa presentare un rischio elevato per i diritti e libertà personali dell’interessato, il Titolare del trattamento è tenuto a comunicare a questi l’avvenuta violazione, senza ingiustificato ritardo.

Tale comunicazione può essere evitata qualora i dati violati fossero resi incomprensibili (anonimizzati, criptati), se successivamente al data breach il Titolare attuasse misure atte a scongiurare un rischio elevato per i diritti dei data subjects, qualora la comunicazione richieda sforzi sproporzionati. In quest’ultimo caso, è comunque necessario che la società violata provveda con una comunicazione pubblica, o comunque idonea a raggiungere quanti più interessati possibile.

SANZIONI
Di grande rilievo, per Titolari e Responsabili che trattano dati violabili (quindi, tutti), sono le importanti sanzioni che il GDPR ha previsto in caso di data breach. Queste possono arrivare fino a 10 milioni di Euro o, per le imprese che superano tale soglia di fatturato mondiale annuo, fino al 2% dello stesso registrato nell’esercizio precedente.

PROSPETTIVE EUROPEE
Aspre sanzioni possono sì spaventare, ma la risposta più efficace consiste nell’affrontare passo a passo la sfida di adeguamento al GDPR, nei tempi prefissati dalla sua applicazione, il 25 maggio 2018. I prossimi 14 mesi saranno utili per analizzare le attuali modalità di gestione dei dati e delle relative violazioni subite da parte di ogni azienda, ente pubblico, e più in generale di ogni Titolare del trattamento, al fine di cogliere le lacune riscontrabili in ciascun sistema, e iniziare a progettare un percorso che porti alla conformità al GDPR.

Tale strada non vede il proprio traguardo nel maggio 2018, ma solo un inizio. Anche in questo caso, come per gran parte delle novità normative introdotte dalla disciplina europea, sarà interessante osservare i dati che emergeranno una volta che il GDPR sarà applicato, così da potere eventualmente saggiare ulteriori passi avanti riguardo all’implementazione di diritti e sicurezza privacy.

La presente Legal News ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una specifica consulenza legale.
Per qualsiasi richiesta di chiarimento, scrivere a:
Lexalia – Studio Legale e Tributario
Avv. Giovanna Ianni giovanna.ianni@lexalia.it