L’EDPB (Comitato europea per la protezione dei dati) a partire dal 28 marzo 2023, ha adottato le nuove linee guida (09/2022) in tema di notifica dei data breach. Vediamo assieme quali sono state le modifiche apportate.

Le prescrizioni dell’EDPB

Come già si evinceva dalle linee guida 01/2021, l’EDPB conferma la sua rigidità in tema di data breach soggetti a notifica. Si può dedurre, come per l’EDPB, il registro dei data breach sia un elenco accurato di ogni violazione dei dati personali, dalla più formale a quella più significativa. Ad esempio, l’EDPB include fra i casi da riportare nel registro dei data breach anche l’ipotesi di “una breve interruzione della fornitura di energia elettrica” che anche solo per qualche minuto impedisca il funzionamento di un call center aziendale rivolto ai clienti, perché in questo modo, questi ultimi non sarebbero in grado di contattare il titolare ed esercitare i propri diritti. È specificato che in questo caso non è necessaria la notifica all’autorità garante o la comunicazione agli interessati i cui dati sono stati violati, ma afferma comunque la necessità di compilare il registro dei data breach, indicando le specifiche del caso.

Un altro caso in cui è necessaria solo la compilazione del registro, è la compromissione di dati già pubblicamente disponibili o di dati adeguatamente crittografati. In merito alla crittografia, tra l l’altro, l’EDPB ricorda che solo una crittografia sicura permette di considerare i dati non accessibili da terzi non autorizzati e questo comporta una conoscenza specifica in capo ai titolari circa i meccanismi di crittografia (es. complessità delle password, adeguamento degli strumenti di crittografia ecc.).

Quando il titolare è considerato consapevole della violazione?

L’EDPB approfondisce anche il tema di quando il titolare deve fare comunicazione all’autorità garante (entro 72 ore) e agli interessati della violazione dei dati (da effettuarsi senza giustificato ritardo). Ai sensi dell’art. 33 GDPR, i tempi decorrono dal momento in cui il titolare “è venuto a conoscenza” della violazione.

L’EDPB fa una premessa importante, ricordando che i principi generali del GDPR impongono l’adozione di procedure che consentano di venire a conoscenza delle violazioni entro breve tempo, e se ciò non accade, è indice di una cattiva organizzazione dell’ente/azienda che quindi non rispetta la normativa e, questo, può essere autonoma fonte di sanzione.

Tornando al momento in cui il titolare viene a conoscenza della violazione, per l’EDPB, ad esempio, il titolare è considerato “a conoscenza” se:

1. Riceve una mail da un cliente in cui questi gli dice che è stato contattato da qualcuno che impersonava il titolare e che ha avuto accesso ai dati del titolare stesso;
2. Dopo avere condotto una rapida indagine è in grado di supportare la tesi del cliente che lo ha contattato avendo trovato prove di un’intromissione nel suo sistema.

Ed è a questo punto che il titolare deve tempestivamente adottare tutte le procedure del caso, comunque entro 72 ore, dovendo procedere alla notifica all’autorità garante entro tale termine, se vi sono i presupposti.

Valutazione del rischio

Nel momento in cui il titolare è a conoscenza di una violazione dei dati, questi deve attivare tutta una serie di procedure innanzitutto per capire se:

1. non comporta un rischio per i diritti e le libertà delle persone coinvolte (circostanza che ha come conseguenza la mera registrazione della compromissione nel registro dei data breach);
2. comporta un rischio per i diritti e le libertà delle persone coinvolte (circostanza che ha come conseguenza la registrazione della compromissione nel registro dei data breach e la notifica all’autorità garante);
3. comporta un rischio elevato per i diritti e le libertà delle persone coinvolte (circostanza che ha come conseguenza la registrazione della compromissione nel registro dei data breach, la notifica all’autorità garante e la comunicazione agli interessati coinvolti nella compromissione);

Nell’effettuare questa valutazione l’EDPB raccomanda di considerare:

1. il tipo di violazione;
2. la natura, tipologia (es. dati comuni ovvero appartenenti a categorie particolari o relativi a condanne penali o reati) e volume dei dati compromessi;
3. la facilità per soggetti terzi non autorizzati di identificare gli individui i cui dati sono stati compromessi;
4. le possibili conseguenze per gli individui;
5. le caratteristiche peculiari degli individui coinvolti (es. nel caso di minori o individui vulnerabili);
6. le caratteristiche peculiari del titolare (es. una struttura sanitaria);
7. il numero di interessati coinvolti.

A tutte queste valutazioni, vanno, poi, associate le procedure sia per contenere il rischio, che per evitare che si ripeta un incidente simile.

La comunicazione agli interessati

Nel caso in cui ci si trovi davanti ad un caso di data breach grave, per il quale va fatta comunicazione agli interessati coinvolti, l’EDPB afferma che è importante, come previsto dalla normativa, fare una comunicazione in un linguaggio semplice e chiaro circa:

1. la natura della violazione dei dati personali;
2. i dati di contatto del DPO o di altro punto di contatto da cui ottenere maggiori informazioni;
3. le probabili conseguenze della violazione;
4. le misure intraprese o da intraprendere per contenerne gli effetti negativi (ivi inclusi consigli agli individui interessati per mitigare gli effetti della violazione, come ad esempio un repentino aggiornamento delle credenziali).

Molto spesso, accade che la comunicazione non soddisfi i requisiti della normativa, con comunicazioni poco chiare o nelle quali si minimizza la violazione subita. Per questa ragione, l’EDPB ha voluto precisare che le comunicazioni relative ai data breach devono essere ben distinte dalle comunicazioni ordinarie (ad esempio, non è lecito inviare la comunicazione di un data breach all’interno di una newsletter periodica) e che devono essere fornite con il mezzo di comunicazione più efficace.

È preferibile optare per uno strumento di comunicazione individuale, ma nel caso in cui non si possa utilizzare uno strumento di questo genere, il titolare è tenuto ad utilizzare tutti gli strumenti di comunicazione per garantire massima diffusione (anche attraverso comunicato stampa o blog aziendale, nonostante non siano i mezzi idonei in una situazione normale).

Per quanto riguarda la lingua nella quale comunicare la violazione dei dati, l’EDPB afferma che deve essere quella utilizzata usualmente per fare le comunicazioni con il soggetto interessato dalla violazione. Se il data breach coinvolge soggetti di cui il titolare conserva i dati per conto di terzi o comunque soggetti con cui lo stesso non ha in precedenza interagito, la comunicazione deve essere fornita in più lingue per essere maggiormente accessibile.

Ruolo del DPO

Le linee guida si soffermano sul ruolo del DPO, che deve fornire consulenza e informazione al titolare, monitorando l’adempimento al GDPR e fornendo pareri alle eventuali violazioni di impatto.

Il duplice ruolo del DPO emerge con particolare chiarezza in questa delicata fase, in quanto il titolare, nel notificare una violazione, deve indicare i dati e i contatti del responsabile per la protezione dei dati, cosicché quest’ultimo possa in seguito fungere da tramite fra l’autorità garante ed il titolare.

L’EDPB afferma, poi, che nulla vieta di affidare al DPO l’incarico di tenere il registro dei data breach, anche se questo compito non rientra tra quelli “ordinari” del responsabile.

Ulteriori approfondimenti

Nelle linee guida, l’EDBP fa riferimento anche al meccanismo “one-stop-shop”, che include la possibilità di notificare una violazione dei dati ad una sola autorità, ovvero quella in cui l’ente/azienda che tratta dati in più paesi europei ha stabilito la propria rappresentanza. Fa eccezione, però, il titolare che non ha uno stabilimento all’interno dell’UE, ad esempio una azienda USA che non ha stabilito la propria rappresentanza in un territorio comunitario, in questo caso, infatti, la notifica va inviata all’autorità garante di ogni stato membro UE i cui cittadini siano stati coinvolti nel data breach.

Ulteriore precisazione, è quella relativa al fatto che la presenza di un mero rappresentante del titolare extra-UE non fa scattare il meccanismo dello one-stop-shop, in quanto è necessario un effettivo stabilimento nell’Unione.

Infine, L’EDPB si spende anche in considerazioni di dettaglio circa la compatibilità fra la funzione di Data Protection Officer e quella del rappresentante di un titolare del trattamento che ha sede all’esterno dell’UE, con l’EDPB che afferma come le due funzioni non siano fra loro compatibili e che quindi il soggetto chiamato a notificare il data breach rimane il titolare del trattamento, con il DPO “comunitario” che può al più essere coinvolto nel processo di notifica se questo rientra tra i suoi compiti.