I recenti episodi di diffusione massiva di Ransomware (Wannacry) realizzati sfruttando vulnerabilità non aggiornate dei sistemi operativi Windows, oltre a provocare un notevole allarme sociale, correlato alle gravi conseguenze pregiudizievoli derivanti dalla potenziale perdita di dati, anche sanitari, nella disponibilità delle organizzazioni colpite, ha portato all’attenzione degli operatori la necessità di confrontarsi, in alcuni casi, sin da ora, ed in futuro, in seguito all’applicazione del GDPR, in ogni circostanza, con gli obblighi di Data Breach Notification.
In questo sintetico contributo si cercherà di illustrare quali siano state le principali norme che, a partire dalle leggi applicabili in Italia, sino a giungere, alle più recenti norme comunitarie hanno sancito le modalità, i soggetti ed i casi in cui tale importante adempimento deve essere perfezionato.
TELCO Data Breach Notification.
In effetti, la disamina sistematica delle norme vigenti nel nostro paese, in materia di notifica delle violazioni sui dati personali, consente di constatare che giá l’attuale Codice Privacy, con riferimento esclusivo ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, prevede, all’art. 32 bis, in capo a questi ultimi, l’obbligo di comunicare senza indebiti ritardi al Garante per la protezione dei dati personali, mediante apposita modulistica [doc. web. 2388260], la violazione stessa.
La stessa norma, analogamente a quanto previsto, come si vedrà in seguito, nel testo del Regolamento Comunitario citato impone, nello specifico, di comunicare al contraente (i.e. interessato), la violazione nei casi in cui quest’ultima rischi di arrecare pregiudizio alla sua riservatezza o ai suoi dati personali.
A completare il quadro, la lettera g-bis) dell’art. 4 del Codice privacy, come modificato dal D. Lgs. 28 maggio 2012 nr. 69, definisce come violazione di dati personali, nel contesto della fornitura di servizi di comunicazione accessibili al pubblico, la violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati.
Dossier sanitario, biometria e Pubblica Amministrazione.
Più recentemente, sono intervenuti in argomento, in ambito nazionale, sancendo di volta in volta le varie modalità attraverso le quali l’obbligo di notificazione della violazione deve essere perfezionato, alcuni provvedimento del Garante Privacy, ad esempio, in materia di dati biometrici [doc. web n. 3556992], Dossier Sanitario [doc. web n. 4084632], scambio di dati personali tra amministrazioni pubbliche [4129029].
L’esame del contenuto dei vari provvedimenti citati consente di rilevare come, anche in considerazione del quadro sanzionatorio applicabile, in caso di inosservanza, che prevede sanzioni pecuniarie di importo assai rilevante, che possono giungere sino ad euro 180.00,00, tale strumento sia ormai divenuto, in relazione agli specifici trattamenti ricordati, vera e propria espressione di una legittima facoltà di conoscere gli accadimenti relativi ai propri dati, riconosciuta, anche all’interessato, nella sua veste di portatore di diritti di rango costituzionale, dall’ordinamento interno.
GDPR & Data Breach Notification.
Il GDPR, in modo assai chiaro, sin dal considerando nr. 85, sul presupposto che una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, quali ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata, esprime in modo inequivoco, per tutti i settori, la sussistenza di un generale obbligo di notificare una violazione di dati personali, sia nei confronti dell’Autorità di controllo, sia, in determinati casi, nei confronti dell’interessato.
Si prevede in particolare, che non appena viene a conoscenza di una avvenuta violazione dei dati personali, il titolare del trattamento debba notificare la violazione stessa all’Autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Oltre il termine di 72 ore, tale notifica dovrà essere corredata delle ragioni del ritardo e le informazioni dovranno essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
Il regolamento prevede altresì che il titolare del trattamento debba comunicare, questa volta all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione devee descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi.
Incident Response, digital forensics e contenuto della notificazione della notifica della violazione di dati personali.
Un aspetto che pare particolarmente significativo della disciplina generale sopra menzionata, relativa all’obbligo di notifica delle violazioni all’Autorità di controllo è quello relativo ai contenuti che la notifica stessa deve avere.
Nello specifico, il comma 3 dell’art. 33 del Regolamento prevede, per quanto di interesse che, oltre alla comunicazione all’Autorità, del nome e dei dati di contatto del responsabile della protezione dei dati, o di altro punto di contatto ove l’Autorità possa ottenere maggiori informazioni, relativamente alla violazione avvenuta, il Titolare del trattamento sia obbligato a descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione di dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Ma non solo, il successivo comma 5 dell’art. 33 esprime, di nuovo, declinandone le previsioni per la fattispecie della notifica della violazione dei dati personali, il generale principio di accountability (responsabilizzazione) già formulato nel testo dell’art. 24, precisando, anche in questo caso espressamente, che il titolare del trattamento documenti qualsiasi violazione dei dati, comprese le circostanze a essa relative, le sue conseguenze e provvedimenti adottati per porvi rimedio.
Le sanzioni
Anche per la violazione delle norme appena citate, trovano applicazione le pesanti conseguenze sanzionatorie che caratterizzano il nuovo assetto delineato dal Regolamento, che prevede, al comma 4 dell’art. 83 che possano applicarsi sanzioni amministrative pecuniarie fino ad euro 10.000,00 o, per le imprese fino al 2% del fatturato mondiale annuo.
avv. Giuseppe Serafini
