Data Breach: provvedimento del Garante del 30 Luglio n. 9126951
L’art. 4 del Regolamento Europeo 2016/679 (GDPR) definisce la violazione dei dati personali come quella attività che “comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi conservati o trattati”. Come si evince dal tenore del testo, la nozione di violazione del dato personale – indicata anche con il termine anglosassone “data breach”- ha una accezione piuttosto ampia e comporta una effrazione della sicurezza del dato personale e la conseguente messa in pericolo della sua riservatezza, integrità e correttezza.
Proprio per i rischi cui il dato personale è sottoposto in caso di data breach, il Regolamento Europeo prevede una dettagliata disciplina sui provvedimenti che il Titolare del trattamento deve adottare qualora dovesse subire una violazione dei dati presso di sé conservati.
Secondo quanto prescritto dall’art. 33 del Regolamento il Titolare deve notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo o comunque entro 72 ore dal momento in cui ne è venuto a conoscenza (qualora la notifica avvenga oltre le 72 ore il ritardo dovrà, infatti, essere giustificato). La notifica, che deve essere effettuata su apposito modello reperibile all’indirizzo https://www.gpdp.it/documents/10160/0/Modello+notifica+Data+Breach.pdf/6d1fa433-88dc-2711-, deve contenere:
- La descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione;
- L’indicazione del nome e dei dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- La descrizione delle probabili conseguenze della violazione dei dati personali;
- La descrizione delle misure adottate o di cui il Titolare del trattamento si propone l’adozione per porre rimedio alla violazione dei dati personali.
La notifica cosi strutturata deve essere inviata al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente ovvero con firma autografa con allegata copia del documento d’identità del firmatario.
Inoltre, ai sensi dell’art. 34 del Regolamento la notifica dovrà avere come destinatario anche il soggetto interessato qualora la violazione comporti un elevato rischio per le libertà e i diritti delle persone fisiche. Tale comunicazione non sarà, invece, necessaria se il Titolare ha adottato misure tecniche e organizzative adeguate di protezione dei dati che li rendano non comprensibili a soggetti non autorizzati; ovvero se ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; ovvero se detta comunicazione richiederebbe sforzi sproporzionati.
Se queste sono le modalità di gestione del data breach prescritte dal Regolamento, precedentemente non esisteva una regolamentazione unitaria per la violazione dei dati personali; normative di settore – quali quelle di seguito elencate – prevedevano, infatti, discipline differenziate per tempi, modalità e contenuto della comunicazione della violazione.
- Il provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 (www.gpdp.it, doc. web n. 4129029) prevedeva che il data breach fosse comunicato al Garante entro quarantotto ore dalla conoscenza del fatto qualora si fosse verificata una violazione dei dati o un incidente informatico che potesse avere un impatto significativo sui dati personali contenuti nelle banche dati del Titolare e che tali comunicazioni fossero redatte secondo lo schema riportato dal provvedimento e inviate tramite posta elettronica o posta elettronica certificata all´indirizzo pa@pec.gpdp.it.
- Nelle linee guida in materia di Dossier sanitario del 4 giugno 2015 (doc. web n. 4084632) era previsto che entro quarantotto ore dalla conoscenza del fatto il titolare del trattamento dei dati comunicasse all´Autorità Garante tutte le violazioni dei dati o gli incidenti informatici che avessero un impatto significativo sui dati personali trattati attraverso il dossier sanitario. Tali comunicazioni dovevano essere redatte secondo il modulo indicato dalla normativa ed inviate tramite posta elettronica o posta elettronica certificata all’indirizzo dossier@pec.gpdp.it.
- Nel provvedimento generale in tema di biometria del 12 novembre 2014 (doc. web n. 3556992) era previsto che entro ventiquattro ore dalla conoscenza del fatto il Titolare comunicasse all’Autorità tutte le violazioni dei dati o gli incidenti informatici aventi un impatto significativo sui sistemi biometrici o sui dati personali ivi custoditi. Tali comunicazioni dovevano essere redatte secondo il modulo indicato dalla normativa ed inviate tramite posta elettronica o posta elettronica certificata all´indirizzo databreach.biometria@pec.gpdp.it .
- Nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013 (doc. web n. 2388260) la comunicazione della violazione doveva essere effettuata al Garante “senza indebiti ritardi” – ossia nel momento in cui il Titolare ne venisse a conoscenza – ed poteva avere ad oggetto anche solo sommarie informazioni per le situazioni più complesse. La comunicazione poteva avvenire entro il termine di ventiquattro ore dall’avvenuta conoscenza della violazione per la prima sommaria comunicazione ed entro il termine di 3 giorni dalla stessa per la comunicazione dettagliata.
- Nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011 (doc. web n. 1813953) era previsto che le banche comunicassero senza ritardo all’interessato le operazioni di trattamento illecito effettuate sui dati personali allo stesso riferiti e che comunicassero al Garante violazioni di particolare rilevanza per la qualità o la quantità di dati coinvolti e/o il numero di clienti interessati, dalle quali derivassero la distruzione, la perdita, la modifica, la rivelazione non autorizzata dei dati della clientela.
Con provvedimento del 30 luglio 2019 n. 9126951 l’Autorità Garante ha decretato l’abrogazione delle disposizioni summenzionate sia relativamente al contenuto della comunicazione da effettuare sia riguardo alle tempistiche.
Pertanto, la notifica di data breach al Garante dovrà essere effettuata dal titolare del trattamento senza ingiustificato ritardo, entro 72 ore dal momento in cui è venuto a conoscenza della violazione dei dati personali e con modalità telematiche, a prescindere dal diverso contesto in cui la violazione si sia verificata.