Data Breach: una guida semplice per darne notifica al Garante privacy
Per “data breach” si intendono tutte quelle situazioni che comportano una violazione della sicurezza in riferimento alle ipotesi di perdita, distruzione furto o tentativo di furto dei dati e, comunque, a tutte le ipotesi di modifica, divulgazione o accesso senza autorizzazione.
In seguito al verificarsi di un evento di data breach e a prescindere dalla sua portata, oltre alla necessaria registrazione interna (art.24 GDPR) e all’adozione di adeguate contromisure per arginare o porre rimedio all’evento, ciascun titolare deve valutare l’impatto concreto a seguito dell’evento, al fine non solo di contenerne le conseguenze sotto il profilo aziendale, ma anche di valutare le attività formali da attuare (art.33-34 GDPR).
Autovalutazione
La prima cosa da fare è: un’autovalutazione della violazione subita. Una attività in linea con il principio di "responsabilizzazione" (art.5 comma 2 GDPR), che prevede l’obbligo per il Titolare di garantire il rispetto dei principi del regolamento e di essere in grado di dimostrarlo. Ovviamente, i Titolari che hanno provveduto a nominare un Dpo si trovano avantaggiati in questa operazione, in quanto uno dei compiti di questa figura è proprio quello di “informare e fornire consulenza al titolare del trattamento”.
I tempi da rispettare
Dopo l'autovalutazione bisonga ricordarsi di rispettare i tempi. L’art. 33 GDPR richiede, a ciascun titolare, di effettuare una notifica in caso di data breach all’Autorità garante senza ingiustificato ritardo e non oltre le 72 ore dall’avvenuta conoscenza della violazione, nel caso in cui essa sia suscettibile di comportare un “rischio per i diritti e le libertà delle persone fisiche”; nel caso in cui, invece, il rischio risulti elevato, è previsto l’obbligo ci fare comunicazione anche allo stesso soggetto interessato senza ingiustificato ritardo.
Il servizio telematico del Garante della Privacy
Al fine di facilitare le operazioni di notifica di data breach in via telematica (l’unica modalità in cui vengono accolte le richieste), con il provvedimento n.209 del 27 maggio 2021, il Garante ha messo a disposizione una serie di strumenti a supporto dei Titolari del trattamento. Quindi, dopo l’autovalutazione, se viene accertartata la necessità di notifica, il Titolare deve accedere alla pagina del Garante Data Breach - Violazioni di dati personali - Garante Privacy in cui trova:
- Il modello di autovalutazione per la notifica che agevola l’attività di autodiagnosi sulla necessità o meno di procedere all’inoltro formale della notifica all’Autorità. La funzione costituisce un utile tool per tutti i casi in cui i Titolari non sono pienamente convinti di essere interessati all’obbligo di notifica.
Se, effettuata questa prova, vi sono i requisiti di notifica al Garante il sito indirizza direttamente alla procedura per la notifica, altrimenti riscontra la mancata necessità di notifica.
Attraverso la “compilazione della notifica”, prende avvio la vera e propria formalizzazione della notifica che, allo stato attuale, può essere avviata soltanto mediante autenticazione con firma digitale da parte del titolare (a breve, tuttavia, sarà reso possibile l’utilizzo di CIE, SPID, eIDAS e CNS/TS)
La terza area consente di consultare apposite “istruzioni” su come procedere alla compilazione della notifica, inclusive anche di indicazioni di carattere tecnico, tra cui l’elenco dei browser supportati, le procedure da compiere per la formalizzazione della notifica, ecc.
L’informativa sul trattamento dei dati personali resa dal Garante privacy, in virtù del trattamento di dati personali che detta Autorità si troverà a dover operare a seguito dell’esame della notifica a lui trasmessa.
“Pagina informativa sul data breach”, che conduce nuovamente alla già menzionata sezione del sito del Garante privacy inerente al tema del data breach, contenente le principali informazioni e i riferimenti normativi in ambito di violazione dei dati personali.
“Fac-simile del modello” di notifica al Garante privacy, il quale consente di prendere visione del modello di notifica, senza necessariamente avviarne la formale compilazione, di cui al secondo punto del presente elenco. Come specificato al suo interno, il modello è a mero titolo dimostrativo.
Le informazioni necessarie
Molto utili risultano, altresì, essere i commenti inseriti nei riquadri in giallo presenti all’interno del documento, che forniscono indicazioni per ciascuna delle varie sezioni che compongono il modello.
Le prime cinque (lettere A-E), maggiormente intuitive, comprendono l’indicazione dei dati del soggetto che effettua la notifica, la sua tipologia, l’identità del titolare del trattamento, i dati di contatto del DPO o di un altro soggetto presso il quale ottenere maggiori informazioni, nonché gli ulteriori soggetti coinvolti nel trattamento (responsabili, contitolari).
Successivamente, alle sezioni F e G, viene rispettivamente richiesta una dettagliata descrizione della violazione e le sue probabili conseguenze. Il tutto, per tramite sia di domande a risposta multipla, sia a compilazione libera. Alla sezione H, viene richiesto di descrivere tutte le misure tecniche e organizzative adottate per attenuare gli effetti negativi in seguito all’evento, nonché quelle dirette alla prevenzione di simili violazioni future.
La richiesta presente alla sezione I di esprimere una valutazione sull’eventuale suscettibilità della violazione di presentare o meno un rischio elevato per i diritti e le libertà degli interessati, funge da preambolo per la successiva sezione L, inerente all’eventuale effettuazione della comunicazione agli interessati, richiesta nei già menzionati termini di cui all’art. 34 GDPR.
Infine, chiudono la lunga richiesta di informazioni le sezioni M (relativa all’eventuale notifica o segnalazione ad altri organismi di controllo o autorità giudiziaria e di polizia), N e O (in tema di violazioni transfrontaliere o che riguardano trattamenti effettuati da un titolare stabilito al di fuori dello Spazio Economico Europeo).
Fine della procedura
Una volta terminata la procedura, al soggetto che ha effettuato materialmente la segnalazione e al Titolare del trattamento verrà trasmesso un documento riepilogativo delle informazioni inserite all’atto di notifica, e un’ulteriore comunicazione contenente il numero di fascicolo creato e relativo PIN (da utilizzare se è necessario integrare con altre informazioni).