Data Breach: tempistica e obbligatorietà della notifica

Per nostalgia si intende lo stato d'animo corrispondente al desiderio pungente o al rimpianto malinconico di quanto è trascorso o lontano.

I più nostalgici, tra le altre cose, non fanno altro che rimpiangere la mancanza di mezze stagioni e lo spirito libertino della società moderna.

Impotenti in merito al cambiamento climatico in atto, questo folto gruppo di persone sarà certamente soddisfatto dell’introduzione del nuovo regolamento in tema privacy che pone nuovi vincoli per la gestione e il trattamento dei dati personali, per un futuro (apparentemente) “rigido” come il passato.

Nuovi ruoli, responsabilità, principi e processi, tra cui quello del Data Breach.
Tra i tanti obblighi e doveri spunta però una libertà: la possibilità di non inviare la notifica all’autorità di controllo.

La notifica del Data Breach all’autorità di controllo: i casi in cui non è richiesta

Di norma il GDPR rende obbligatorio per tutti i Titolari del trattamento di notificare un Data breach all’Autorità di controllo.

Questo obbligo viene meno quando risulta improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.‍

La perdita di un dispositivo mobile cifrato utilizzato esclusivamente dal titolare e dal personale non rappresenta un rischio.

Il motivo è semplice: se la chiave di cifratura rimane in possesso del titolare e non si tratta dell’unica copia dei dati personali, questi ultimi sarebbero inaccessibili a qualsiasi pirata informatico. 

I casi in cui è richiesta la notifica del Data Breach

Citando sempre lo stesso esempio, se per qualsiasi motivo diventa evidente che la chiave di cifratura è stata compromessa o che il software o l’algoritmo di cifratura è vulnerabile, il rischio per i diritti e le libertà delle persone fisiche si materializza.

In questo caso non ci sono i presupposti per evitare di inviare la notifica di Data Breach all’autorità di controllo.

Più in generale, i casi in cui la notifica è richiesta si possono riassumere in queste situazioni:

• Data breach in assenza di un backup dei dati personali cifrati, in quanto si è in presenza di una violazione della disponibilità che potrebbe presentare rischi per le persone fisiche;
• Data breach che implica la perdita di dati cifrati, anche in presenza di backup, qualora non sia possibile ripristinare tempestivamente la disponibilità e l’accesso.

Il contenuto e le tempistiche della notifica all’autorità di controllo

Illustrate le situazioni in cui è obbligatorio inviare la notifica all’autorità di controllo dell’avvenuto Data Breach è giunto il momento di analizzare la struttura della notifica e i vincoli temporali dei Data Breach, che continuano ad aumentare anche in Italia.

Cosa deve descrivere la notifica di Data Breach

• La natura della violazione dei dati personali;
• Le categorie di interessati coinvolti e il numero (approssimativo) di persone;
• Le categorie di dati personali trattati e il numero (approssimativo) di registrazioni;
• Nome e dati di contatto del DPO;
• Le probabili conseguenze della violazione dei dati personali;
• Le misure adottate per prevenire o attenuare gli effetti negativi.

I tempi per la notifica di Data Breach

Il titolare del trattamento è tenuto a notificare il Data Breach all’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza.

Per poter rispettare la scadenza individuata in 3 giorni è necessario aver pre-impostato la strategia di risposta all’incidente.‍

La notifica può avvenire anche dopo le 72 ore, solo se giustificata da una motivazione valida, che può essere:

• Data breach particolarmente complesso;
• Più Data breach simili ripetuti nel breve periodo, riguardanti lo stesso tipo di dati personali che si verificano in capo al medesimo Titolare.
  

In assenza di informazioni precise, è possibile indicare approssimativamente il numero di soggetti interessati e le categorie di dati coinvolte per consentire di agire in maniera tempestiva.

Le informazioni mancanti o imprecise possono poi essere fornite nelle fasi successive senza incorrere nel problema dell'ingiustificato ritardo.

La comunicazione del Data Breach all’interessato

Come per la notificata all’autorità di controllo, anche la comunicazione all’interessato è necessaria quando si presenta un rischio elevato per i diritti e le libertà delle persone fisiche.

Questa comunicazione serve agli interessati per acquisire le informazioni necessarie ad adottare contromisure idonee a contenere i danni della violazione.

Non sempre la comunicazione all’interessato è richiesta.
Ecco i principali casi in cui non è necessaria:

• Le misure di sicurezza preventive erano adeguate a rendere incomprensibile la lettura dei dati ai non autorizzati (come la cifratura);
• Le misure di sicurezza adottare dopo la violazione hanno scongiurato il rischio elevato;
• La comunicazione richiede uno sforzo sproporzionato.
  In questo caso si procede con una comunicazione pubblica capace di informare ugualmente gli interessati con la stessa efficacia.

I criteri di valutazione del rischio

Abbiamo visto insieme che l’obbligatorietà della comunicazione agli interessati come l’invio della notifica all’autorità di controllo per l’avvenuto Data Breach ruota attorno al concetto di rischio elevato.

Ma cosa significa rischio elevato? Quali sono i criteri di valutazione che indicano quando un rischio è elevato e quando non lo è?

E’ necessario valutare il rischio potenziale derivante da una violazione caso per caso.
Di fondamentale importanza è considerare la probabilità che la violazione avvenga e la gravità delle conseguenze.

Il WP29 (Working Party, comitato europeo della protezione dei dati) suggerisce sempre di privilegiare la prudenza e in caso di dubbio effettuare la notifica.

Inoltre ha elencato dei criteri che possono rappresentare delle linee guida per identificare il rischio:

• Tipo di violazione;

• La natura e la sensibilità dei dati personali:
  Più i dati sono sensibili, maggiore è il rischio di danni per gli interessati, anche se alcuni tipi di dati personali possono sembrare erronamente innocui;

• Facilità di identificazione delle persone fisiche:

L’identificazione può essere direttamente o indirettamente possibile a partire dai dati oggetto di violazione;

• Gravità delle conseguenze per le persone fisiche:

Il fatto che il titolare del trattamento sappia o meno che i dati personali sono nelle mani di persone le cui intenzioni sono sconosciute o potenzialmente dannose può incidere sul livello di rischio potenziale;

• Caratteristiche particolari dell’interessato:

Una violazione può riguardare dati personali relativi a minori o ad altre persone fisiche vulnerabili, che possono di conseguenza essere soggette a un rischio più elevato di danno;

• Caratteristiche particolari del titolare del trattamento di dati:

La natura e il ruolo del titolare del trattamento e delle sue attività possono influire sul livello di rischio per le persone fisiche in seguito a una violazione;

Numero di persone fisiche interessate:
Maggiore è il numero di persone fisiche interessate, maggiore è l’impatto che una violazione può avere;