È incessante l’ondata di osservazioni e commenti al Regolamento Ue 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che – a partire dal 25 maggio 2018 – detterà la nuova disciplina in materia di privacy, abrogando la direttiva 95/46/CE.
Tra timori e atteggiamenti prudenziali (le sanzioni, in caso di inosservanza del Regolamento, sono piuttosto elevate), imprese e operatori si affrettano nella corsa all’adeguamento alla nuova disciplina. Ai primi posti nei piani di compliance figurano gli adempimenti in materia di risk assessment e dunque l’individuazione di soluzioni by design, la discussa valutazione d’impatto sulla protezione dei dati e l’elaborazione dei registri delle attività di trattamento. L’attenzione è rivolta anche alle nuove procedure per garantire l’esercizio dei diritti degli interessati, il cui novero si arricchisce dei diritti alla portabilità dei dati, all’oblio e alla limitazione del trattamento.
Per facilitare la conformità e l’osservanza delle nuove regole, il Gruppo di lavoro Art. 29 ha fornito una serie di indicazioni operative, emanando linee guida in materia di Data Protection Officer, valutazione d’impatto e autorità di controllo capofila.
Tuttavia, pare sia stato – per il momento – posto in secondo piano un adempimento che, seppur già previsto dalle normative (anche di diversi settori, come ad esempio il Regolamento eIDAS), costituisce un rilevante strumento di tutela dell’interessato e di garanzia della conformità dei titolari di trattamento: la notifica della violazione dei dati personali o, più comunemente, del data breach.
Ai sensi degli artt. 33 e 34 del Regolamento, ogniqualvolta venga rilevata una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali e tale violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a informare sia l’autorità di controllo sia l’interessato (a cui i dati si riferiscono) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
La notifica deve presentare un contenuto minimo di informazioni specificatamente indicate dal Regolamento e tali da consentire all’autorità di controllo di verificare il rispetto della normativa da parte del titolare. Analogamente, la comunicazione all’interessato – con linguaggio semplice e chiaro – deve indicare almeno la natura della violazione, i dati di contatto del Data Protection Officer, le conseguenze della violazione, nonché le misure adottate o di cui il titolare propone l’adozione per porre rimedio alla violazione.
Tuttavia, né la notifica all’autorità di controllo né la comunicazione all’interessato sono sempre e comunque obbligatorie: il titolare deve procedervi soltanto se la violazione rappresenti un rischio elevato per i diritti e le libertà dei soggetti. È il titolare a dover valutare in primis il grado di rischio sulla base del contesto in cui la violazione è avvenuta e, quindi, tenendo in considerazione la natura dei dati oggetto di trattamento, la finalità del trattamento, le misure di sicurezza adottate. In assenza di ulteriori indicazioni, il considerando n. 85 del Regolamento offre alcuni criteri per delimitare il “rischio” che una violazione dei dati personali può comportare: la violazione deve essere tale da “provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.
Notifica all’autorità di controllo e comunicazione all’interessato non sono poi inscindibilmente connesse: il titolare può astenersi dalla comunicazione all’interessato quando ha messo in atto misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; ovvero, qualora abbia successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; o, ancora, nel caso in cui detta comunicazione richieda sforzi sproporzionati. In quest’ultimo caso, il titolare deve procedere ad una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. È proprio nell’eventualità della mancata comunicazione all’interessato che interviene la seconda valutazione del rischio derivante dal data breach, questa volta da parte dell’autorità di controllo che, a seguito di detta valutazione, può richiedere al titolare di provvedere alla comunicazione ovvero ritenere che una delle condizioni menzionate è soddisfatta.
Sebbene il Gruppo dei Garanti europei non abbia ancora formulato linee guida specifiche in materia (le ultime risalgono all’Opinion 3/2014 on personal data breach notification), l’Autorità Garante italiana per la protezione dei dati personali ha avviato un’iniziativa rivolta alle pubbliche amministrazioni con l’intento di accompagnare il processo di adeguamento alle nuove norme. Tra le priorità fissate vi è proprio la notifica delle violazioni dei dati personali che viene ritenuta fondamentale “nell’attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi”.
Attendiamo, dunque, le raccomandazioni da parte del Comitato europeo per la protezione dei dati (che andrà a sostituire il Gruppo di lavoro Art. 29): l’art. 70 del Regolamento prevede infatti tra i suoi compiti quello di pubblicare linee guida “per accertare la violazione di dati personali e determinare l’ingiustificato ritardo, le circostanze particolari in cui il titolare del trattamento o il responsabile del trattamento è tenuto a notificare la violazione dei dati personali (…) e le circostanze in cui una violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
