DIRITTO ROVESCIO

EDPB: le linee guida per la notifica di data breach 

IL 28 marzo 2023, l’European Data Protection Board (EDPB) ha, definitivamente, adottato le Linee Guida n. 9/2022 sulla notifica di una violazione di dati personali (il c.d. Data breach) ai sensi del Regolamento UE n. 2016/679 (GDPR), al fine di fornire una versione, leggermente, aggiornata delle precedenti linee guida emesse, sul tema

Nello specifico, le Linee Guida, qui in commento, mirano, soltanto, a chiarire i requisiti di notifica di una violazione di dati personali presso uno stabilimento extra Spazio Economico Europeo (SEE)

Fatta questa opportuna premessa, giova, ora, rimarcare, qui di seguito, i principi, gli adempimenti, i compiti e gli oneri prescritti nei confronti dei differenti attori privacy eventualmente coinvolti/interessati in una violazione di dati personali (data breach) ex  art. 4 n. 12) del  GDPR  

Il primo aspetto consiste nella capacità di individuare/riconoscere un data breach ex  art. 4 n. 12) del   GDPR (“violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”

Per “danneggiamento”, deve intendersi il caso in cui i dati personali sono stati alterati, corrotti ovvero non sono più completi;

Per “perdita”, deve intendersi la mancanza di controllo, possesso o accesso ai dati personali;

Per “trattamento non autorizzato o illegale” può includere la divulgazione dei dati personali a (o l’accesso da parte di) destinatari non autorizzati a riceverli (o ad accedervi), o qualsiasi altra forma di trattamento che violi la normativa sulla protezione dei dati personali. 

Com’è noto, si ricorda, qui, che il data breach – che è una tipologia di incidente di sicurezza può essere classificato in base ai seguenti tre principi di sicurezza delle informazioni: 

1) violazione della riservatezza: divulgazione o accesso non autorizzato/accidentale ai dati personali; 

2) violazione dell’integrità: alterazione non autorizzata/accidentale dei dati personali; 

3) violazione della disponibilità: perdita accidentale/non autorizzata dell’accesso ai dati personali o distruzione degli stessi. 

A seconda delle circostanze, un data breach può riguardare, contemporaneamente, la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione di questi aspetti. 

Il secondo aspetto consiste, poi, nel definire quando un Titolare del trattamento deve essere considerato a conoscenza di una violazione: sul punto, l’EDPB ha precisato che esso deve essere considerato “consapevole” quando possiede un ragionevole grado di certezza che si è verificato un incidente di sicurezza, tale da aver portato alla compromissione dei dati personali. 

Sebbene sia di competenza del Titolare del trattamento mettere in atto misure adeguate a essere in grado di prevenire, reagire e affrontare una violazione, l’EDPB ha ricordato che sussistono alcune misure (pratiche) che dovrebbero essere adottate in tutti i casi, ovverosia: 

1) le informazioni, relative a tutti gli eventi legati alla sicurezza, devono essere indirizzate a una o più persone responsabili, con il compito di affrontare gli incidenti, stabilire l’esistenza di una violazione e valutarne il rischio; 

2) il rischio per le persone interessate deve essere valutato, grazie al coinvolgimento delle aree pertinenti dell’organizzazione; 

3) se necessario, bisogna procedere alla notifica della violazione al competente Garante Privacy e, sempre ove necessario, alla conseguente comunicazione al soggetto interessato coinvolto; 

4) al contempo, il Titolare del trattamento è tenuto ad agire per contenere e mitigare la violazione. 

Una volta stabilito, con un ragionevole grado di certezza, che si è verificata una violazione, il Titolare del trattamento, se sono soddisfatte le condizioni di cui all’ art. 33 del   GDPR, deve notificare tale evento alla competente Autorità di Controllo senza ingiustificato ritardo (ossia, il prima possibile) e, ove possibile, entro 72 ore. 

Sul punto, l’EDPB tiene a precisare che, dopo aver effettuato una notifica iniziale, il Titolare del trattamento possiede la possibilità di aggiornare la competente Autorità di Controllo se un’indagine successiva abbia rivelato prove che l’incidente di sicurezza è stato contenuto e non si è, effettivamente, verificata alcuna violazione.

il Titolare del trattamento è tenuto a verificare la sussistenza, o meno, dell’onere di comunicazione a ciascun soggetto interessato coinvolto, ai sensi dell’  art. 34 del   GDPR, a fronte della compiuta valutazione di una serie di seguenti elementi/aspetti, volti a verificare che il data breach possa, o meno, comportare un rischio elevato per i diritti e le libertà delle persone fisiche

La violazione di specie dovrebbe, in linea di principio, essere comunicata, direttamente, ai relativi soggetti interessati, a meno che ciò non comporti uno sforzo sproporzionato: in tal caso, si può ricorrere a una comunicazione pubblica o una misura analoga che consenta di informare i soggetti interessati in modo altrettanto efficace. 

Infine, l’EDPB ha ricordato che, indipendente dalla necessità, o meno, di notificare/comunicare una violazione di dati personali, il Titolare del trattamento è tenuto a conservare la documentazione di tutte le violazioni in ossequio all’art. 33, paragrafo 5), del GDPR; oltre a questi dettagli, l’EDPB ha raccomandato, da ultimo, che esso è tenuto, anche, a documentare la motivazione delle decisioni prese in risposta a una violazione, in particolar modo se essa non è stata, alla fine, notificata (e, di conseguenza, poi eventualmente comunicata al relativo soggetto interessato).