Data breach e GDPR: l’avv. Simona Gallo, partner di Jenny.Avvocati, mette a fuoco le criticità di tali eventi ed evidenzia alcune particolarità da considerare.
Le violazioni dei dati personali, o data breach, sono incidenti di sicurezza di varie tipologie (da sole o in combinazione): • violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali; • violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali; • violazione della disponibilità, in caso di perdita o distruzione accidentali o non autorizzati di dati personali.
Il GDPR impone a titolari e responsabili del trattamento di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio cui sono esposti i dati personali trattati, nonché l’obbligo per tutti i titolari di notificare eventuali violazioni al Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza della violazione (motivando un eventuale ritardo). Fa eccezione il caso in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche interessate.
Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche interessate, il titolare del trattamento deve comunicare l’avvenuta violazione anche a loro. Tale obbligo non sussiste quando i dati oggetto di violazione erano protetti da misure tecniche ed organizzative adeguate volte a prevenire la loro comprensione da parte di soggetti non autorizzati ad accedervi (ad es. la cifratura), quando siano state successivamente adottate misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati o quando la comunicazione agli interessati richieda sforzi sproporzionati (in tal casosi deve procedere ad una comunicazione pubblica).
Quando si parla di data breach non si deve pensare solo a condotte fraudolente di terzi, quali ad esempio attacchi alle applicazioni web, insider misuse o cyber spionaggio da parte di un dipendente infedele, ransomware.
Oltre al caso di furto di un laptop contenente un insieme di dati personali, o al caso in cui l’unica copia di una banca dati sia stata crittografata da un ransomware, possono causare un data breach anche più banalmente le condotte dello staff dello stesso titolare del trattamento: si pensi agli errori nella trasmissione dei dati (quando raggiungano destinatari sbagliati), o nella loro pubblicazione (quando informazioni non pubbliche vengono rese note su un web server pubblico), così come alla perdita di disponibilità dei dati conseguente alla crittografia eseguita dal titolare del trattamento che poi perda la chiave.
Per ogni evento occorre quindi valutare se effettivamente ci sia stata una violazione dei dati. E non sempre è possibile accertare l’effettiva violazione della riservatezza. Si pensi alla perdita di una chiave USB contenente dati personali non crittografati. In casi simili il titolare del trattamento verosimilmente non avrà certezze in merito alla violazione della riservatezza, ma dovrà esperire una valutazione considerando la ragionevole certezza del fatto che – con la perdita della chiave USB – si sia verificata (quantomeno) una violazione della disponibilità dei dati.
Un altro aspetto rilevante consiste nella determinazione del momento in cui il titolare del trattamento sia venuto a conoscenza del data breach e della tempestività della comunicazione al Garante. Poiché gli obblighi di notifica sono a suo carico, il titolare deve premunirsi affinché, nel caso di trattamenti di dati affidati a soggetti responsabili ex art. 28 GDPR, egli sia in posto in grado di rispettare i relativi termini. Potrà quindi prevedere contrattualmente un obbligo del responsabile ad informarlo di eventuali data breach in un lasso di tempo idoneo a consentirgli di preparare la sua notifica (e quindi nel giro di poche ore lavorative), non limitandosi a fare affidamento sul generico obbligo di informare il titolare “senza ingiustificato ritardo” posto dal GDPR a carico del responsabile.
Oltre alle misure di sicurezza di natura squisitamente tecnica, la prevenzione e gestione dei data breach richiede l’adozione di una procedura di gestione del data breach, con monitoraggio periodico della relativa adeguatezza, il compimento di attività di indagine per individuare la natura e la portata delle eventuali violazioni e la tenuta di un registro delle violazioni, al fine di monitorare i fattori di rischio e l’adeguatezza delle misure di sicurezza, e conservare le prove della violazione in modo che possano essere usate anche in un’eventuale azione giudiziaria.
