Le regole

Data Breach, come si fa la notifica al Garante privacy: guida pratica per aziende



Indirizzo copiato

Come compilare e presentare la notifica al Garante privacy in caso di data breach: ecco un utile vademecum per i titolari del trattamento dei dati che si trovano alle prese con questo adempimento previsto dal GDPR

Pubblicato il 28 mar 2023

Lorenzo Giannini

Consulente legale privacy e DPO



data breach

La violazione di dati personali che comporta un rischio per i diritti e le libertà dei soggetti interessati, comportano l’obbligo per il Titolare del trattamento di effettuare una notifica all’Autorità Garante privacy. Analizziamo gli strumenti messi a disposizione dalla stessa Autorità per effettuare la notifica, al fine di comprendere quando e come procedere correttamente alla sua trasmissione.

Notifica data breach, cosa dice il GDPR

Con l’espressione “data breach” il GDPR fa riferimento alle ipotesi di violazione dei dati personali, ossia a fattispecie quali la perdita, la distruzione, il furto o tentativo di furto e, comunque, a tutte le ipotesi in cui modifica, divulgazione o accesso avvengano senza autorizzazione. A tutte quelle situazioni, dunque, che comportano una violazione della sicurezza, nonché dell’integrità e della riservatezza delle informazioni personali, sia che ciò avvenga accidentalmente oppure a fronte di una condotta illecita da parte di soggetti interni o esterni alla struttura del titolare.

In seguito al verificarsi di un evento di data breach e a prescindere dalla portata dell’accadimento, oltre a una necessaria registrazione interna (in ragione del principio di rendicontazione – “accountability” – di cui all’art. 24 GDPR) e all’adozione di adeguate contromisure per arginare o porre rimedio all’evento, ciascun titolare del trattamento è chiamato a valutare le circostanze e l’impatto concreto avute a seguito dell’evento, al fine non solo di contenerne le conseguenze sotto il profilo sostanziale, ma anche di valutare l’integrazione di quanto previsto ex articoli 33 e 34 GDPR dal punto di vista della attività formali da porre in essere.

I tempi da rispettare

Da un lato l’art. 33 GDPR richiede a ciascun titolare di effettuare una notifica di data breach all’Autorità Garante privacy senza ingiustificato ritardo e non oltre 72 ore dall’avvenuta conoscenza della violazione[1], nel caso in cui essa sia suscettibile di comportare un “rischio per i diritti e le libertà delle persone fisiche”; dall’altro, nel caso in cui il suddetto rischio risulti “elevato”, l’art. 34 prevede altresì l’obbligo di comunicare la violazione allo stesso soggetto interessato senza ingiustificato ritardo.

In entrambe le ipotesi, la valutazione effettuata dal titolare per stabilire se e in quale misura si sia verificata una violazione che effettivamente richieda di procedere alla sua notifica o alla comunicazione, dovrà tenere in debita considerazione le circostanze della violazione stessa, le misure di sicurezza già presenti e quelle adottate a seguito del data breach, nonché le conseguenze e gli effetti negativi per l’interessato[2].

Primo step: l’autovalutazione

Soffermando adesso la nostra attenzione sull’attività di notifica richiesta ai sensi dell’art. 33 GDPR, prima di analizzare gli strumenti messi a disposizione dei titolari da parte dell’Autorità Garante privacy, preme sottolineare come il primo step del procedimento sia rappresentato dalla richiamata operazione autovalutativa richiesta al titolare del trattamento. Un’attività in linea con quel principio di “responsabilizzazione” di cui all’art. 5, comma 2, GDPR, che prevede l’obbligo in capo al titolare non solo di garantire il rispetto dei principi del regolamento[3] e di quanto in esso previsto[4], ma anche di essere in grado di dimostrarlo[5].

Sotto questo profilo, tutti i titolari che hanno provveduto a nominare – in via obbligatoria per integrazione dei requisiti ex art. 37 GDPR, o in via facoltativa – un Data Protection Officer (DPO) all’interno della propria organizzazione, troveranno certamente in questa figura un valido alleato per compiere le valutazioni de quo, dato che uno tra i compiti del DPO è proprio quello di “informare e fornire consulenza al titolare del trattamento” in merito agli obblighi derivanti dalla normativa europea (cfr. art. 39, comma 1, lett. a), GDPR).

Data breach, come funziona il servizio telematico del Garante privacy

Con apposito provvedimento n. 209 del 27 maggio 2021 [doc. web n. 9667201], l’Autorità Garante per la protezione dei dati personali ha reso operativi una serie di strumenti a supporto dei titolari del trattamento, al fine di facilitare le operazioni di notifica di data breach in via telematica, l’unica e ordinaria modalità attraverso la quale saranno accolte le stesse.

Pertanto, accertata da parte del titolare la necessità di effettuare una notifica ai sensi dell’art. 33 GDPR alla luce delle condizioni più sopra richiamate, quest’ultimo dovrà in primo luogo collegarsi alla pagina del Garante privacy appositamente dedicata al tema, che oltre ad una utile “guida rapida” e a richiami e approfondimenti normativi, prevede un vero e proprio “servizio telematico dedicato al data breach” (vedi immagine 1).

Immagine 1

Cliccando sull’immagine sopra, l’utente verrà reindirizzato alla pagina principale del servizio, articolata in sei distinte aree:

  • Il modello di autovalutazione per la notifica che, permettendo al titolare di svolgere un self assessment, agevola la menzionata attività di autodiagnosi sulla necessità o meno di procedere all’inoltro formale della notifica all’Autorità. La funzione costituisce un utile tool per tutti i casi “borderline”, ossia laddove i titolari non siano pienamente convinti di essere interessati dall’obbligo di notifica.

All’esito dell’utilizzo dello strumento, laddove siano integrati i requisiti, la procedura conduce alla notifica di data breach al Garante, altrimenti viene riscontrata la mancata necessità di notifica.

  • Attraverso la seconda voce di “compilazione della notifica”, prende avvio la vera e propria formalizzazione della notifica che, allo stato attuale, può essere avviata soltanto mediante autenticazione con firma digitale da parte del titolare (a breve, tuttavia, sarà reso possibile l’utilizzo di CIE, SPID, eIDAS e CNS/TS) (vedi immagine 2).

Immagine 2

  • La terza area consente di consultare apposite “istruzioni” su come procedere alla compilazione della notifica, inclusive anche di indicazioni di carattere tecnico, tra cui l’elenco dei browser supportati; la necessità (in caso di titolari che siano persone giuridiche) che la notifica venga effettuata dal legale rappresentante o altra persona che agisce su delega dello stesso; le procedure da compiere per la formalizzazione della notifica; chiarimenti in merito alle modalità di compilazione in caso di “prima notifica”, “notifica integrativa” o per annullare una notifica già effettuata; modalità di riscontro al soggetto notificante.
  • L’informativa sul trattamento dei dati personali resa dal Garante privacy, in virtù del trattamento di dati personali che detta Autorità si troverà a dover operare a seguito dell’esame della notifica a lui trasmessa.
  • “Pagina informativa sul data breach”, che conduce nuovamente alla già menzionata sezione del sito del Garante privacy inerente al tema del data breach, contenente le principali informazioni e i riferimenti normativi in ambito di violazione dei dati personali.
  • “Fac-simile del modello” di notifica al Garante privacy, il quale consente di prendere visione del modello di notifica senza necessariamente avviarne la formale compilazione, di cui al secondo punto del presente elenco. Come specificato al suo interno, il modello è a mero titolo dimostrativo e non è utilizzabile per l’invio della notifica al Garante.

Proprio grazie al fac-simile del modello è possibile esaminarne struttura e contenuto, al fine di comprendere le informazioni richieste durante la vera e propria compilazione, volta all’invio della notifica.

Notifica data breach, quali informazioni servono

Molto utili risultano altresì essere i commenti inseriti nei riquadri in giallo presenti all’interno del documento, che forniscono indicazioni di dettaglio per ciascuna delle varie sezioni che compongono il modello. Ve ne sono quattordici. Le prime cinque (lettere A-E), maggiormente intuitive, comprendono l’indicazione dei dati del soggetto che effettua la notifica, la sua tipologia, l’identità del titolare del trattamento, i dati di contatto del DPO o di un altro soggetto presso il quale ottenere maggiori informazioni, nonché gli ulteriori soggetti coinvolti nel trattamento (responsabili, contitolari).

Successivamente, alle sezioni F e G, viene rispettivamente richiesta una dettagliata descrizione della violazione e le sue probabili conseguenze. Il tutto, per tramite sia di domande a risposta multipla, sia a compilazione libera. Alla sezione H, più discorsiva, viene richiesto di descrivere tutte le misure tecniche e organizzative adottate per attenuare gli effetti negativi in seguito all’evento, nonché quelle dirette alla prevenzione di simili violazioni future.

La richiesta presente alla sezione I di esprimere – motivandola – una valutazione sull’eventuale suscettibilità della violazione di presentare o meno un rischio elevato per i diritti e le libertà degli interessati, funge da logico (e coerente, sotto il profilo della normativa europea) preambolo per la successiva sezione L, inerente all’eventuale effettuazione della comunicazione agli interessati, richiesta nei già menzionati termini di cui all’art. 34 GDPR.

Infine, chiudono la lunga richiesta di informazioni le sezioni M (relativa all’eventuale notifica o segnalazione ad altri organismi di controllo o autorità giudiziaria e di polizia), N e O (in tema di violazioni transfrontaliere o che riguardano trattamenti effettuati da un titolare stabilito al di fuori dello Spazio Economico Europeo).

Riepilogo e integrazioni

Come suggerimento, appare pertanto utile prendere innanzitutto visione del fac-simile del modello e, accertandosi del possesso di tutte le informazioni richieste, procedere poi alla vera e propria “compilazione della notifica”.

Al completamento della procedura, al soggetto che ha materialmente effettuato la notifica e al titolare del trattamento sarà trasmesso (rispettivamente, alla email e alla PEC indicate nel modello) un documento riepilogativo delle informazioni inserite all’atto di notifica, nonché un’ulteriore comunicazione contenente il numero di fascicolo creato a fronte della trasmissione della prima notifica e il relativo PIN (da utilizzare per l’eventuale trasmissione di informazioni ulteriori attraverso una seconda notifica, “integrativa”).

__

Note

  1. Se effettuata oltre le 72 ore, la notifica dovrà essere corredata dai motivi del ritardo (cfr. art. 33, comma 1, GDPR).
  2. Secondo il Considerando 87 GDPR, “È opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato. È opportuno stabilire il fatto che la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l’interessato […]”. Inoltre, il Considerando 88 GDPR sottolinea come “Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze di tale violazione […]”.
  3. L’art. 5, comma 2, GDPR, fa riferimento ai principi espressi al primo comma del medesimo articolo 5.
  4. Cfr. art. 24 GDPR.
  5. Anche il Considerando 85 GDPR, con riferimento alla tempistica entro la quale deve essere effettuata la notifica all’Autorità Garante, richiama espressamente il principio di responsabilizzazione.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3