Con il regolamento europeo in materia di protezione dei dati personali (regolamento 2016/679[1]), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta UfficialeEuropea del 4 maggio 2016 inizia una nuova stagione per la sicurezza dei sistemi e dei dati nelle pubbliche amministrazioni e imprese.
Il regolamento europeo introduce, infatti, l’obbligo di comunicazione delle violazioni di dati personali, (non previsto nella precedente direttiva 95/46/CE[2] a tutti i trattamenti di dati personali effettuati dalle pubbliche amministrazioni e imprese, obbligo previsto attualmente previsto in alcuni ordinamenti.[3]
Per “violazione dei dati personali” si intende secondo il regolamento europeo: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. [4]
Il regolamento distingue due modalità di data breach: la comunicazione delle violazioni di dati all’autorità nazionale di protezione dei dati personali (prevista dall’art.33 del regolamento) e la comunicazione ai soggetti a cui si riferiscono i dati, nei casi più gravi (c.d. soggetti “interessati), prevista dall’art. 34 del regolamento.
Il regolamento europeo specifica quale soggetto è tenuto a notificare, entro quanto tempo, le modalità ed il contenuto della notificazione della violazione dei dati personali “data breach”, le eventuali responsabilità e sanzioni nel caso di violazione degli obblighi in materia.
La notifica delle violazioni dei dati personali ricade sul titolare del trattamento[5] e deve essere comunicata all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Il termine di 72 ore costituisce un periodo molto breve in considerazione della complessità organizzativa delle pubbliche amministrazioni, delle imprese e dei relativi trattamenti di dati effettuati. Il titolare del trattamento deve essere informato della violazione dei dati dal responsabile del trattamento senza ritardo dopo esserne venuto a conoscenza. Si osserva, come emerso, in recenti attacchi informatici che le pubbliche amministrazioni e le imprese, sovente, non si accorgono degli attacchi o violazioni di dati subite e vengono a sapere di queste violazioni dai giornali, dagli utenti o dagli stessi hacker che postano le loro “imprese” sui social. Si osserva inoltre che non è sempre semplice comprendere e documentare che la violazione di dati verificatesi non presenta un rischio per i diritti e le libertà (come previsto), occorre, pertanto, nell’ottica di responsabilizzazione (accountability) degli operatori, informare e sensibilizzare tutti gli attori interni ed esterni alla pa su questi profili attraverso la progettazione di seminari di formazione in materia di sicurezza informatica Il regolamento prevede, una soluzione pragmatica, nel caso in cui la la notifica all’autorità di controllo non sia effettuata entro le previste 72 ore, il titolare può comunque inviare la sopra citata notifica ma è tenuto ad allegare anche un documento in cui illustri i motivi del ritardo.
La previsione di obbligo di data breach comporta che le pubbliche amministrazioni e le imprese sono tenute a verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato.
Nella comunicazione deve essere riportato il riferimento e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni e la descrizione delle probabili conseguenze della violazione dei dati personali.
Nella comunicazione è necessario descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Il regolamento prevede tuttavia che, qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
La comunicazione deve essere redatta con cura e attenzione in quanto può dar luogo a un intervento dell’autorità di controllo nell’ambito dei suoi compiti e poteri previsti dal regolamento.
Il titolare del trattamento deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
La sopra citata documentazione è strategica e deve essere conservata con la massima cura e diligenza in quanto può essere richiesta dall’Autorità Garante di controllo al fine di verificare il rispetto delle disposizioni del regolamento europeo in materia di protezione dei dati personali.
Come anticipato, il regolamento europeo prevede anche la comunicazione della violazione dei dati personali “data breach” verso il soggetto interessato (cittadino, clinete utente), comunicazione che è richiesta, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche: nella visione del regolamento, se l’interessato (cittadino o utente) è avvertito della violazione può prendere le precauzioni necessarie in materia.[6] La sopra citata comunicazione deve essere effettuata dal titolare senza ingiustificato ritardo.
Il regolamento richiede che la comunicazione all’interessato (cittadino) deve essere effettuata, senza ingiustificato ritardo, con un linguaggio semplice e chiaro al fine di fare comprendere allo stesso la natura della violazione dei dati personali verificatesi.
Il regolamento specifica il contenuto minimo (informazioni e le misure) con un richiamo al sopra citato art. 33, paragrafo 3, lettere b), c) e d) del regolamento che ricomprende:
– la comunicazione dei riferimenti e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni (lett.b);
– la descrizione delle probabili conseguenze della violazione dei dati personali (lett.c);
– la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi (lett.d).
Le pubbliche amministrazioni e imprese dovrebbero[7], al di là del sopracitato contenuto minimo della comunicazione, formulare, raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi.
La comunicazione delle violazioni di dati all’interno delle pubbliche amministrazioni e delle imprese può coinvolgere, se pensiamo alle grandi banche dati detenute, migliaia di soggetti interessati (cittadini, utenti dei servizi) e costituisce un’operazione delicata, complessa, con costi e con un impatto importante anche reputazionale per la pubblica amministrazione e per l’impresa.
Il regolamento europeo, nell’ottica di venire incontro alle esigenze delle pubbliche amministrazioni e imprese ed evitare un enorme danno reputazionale alle proprie organizzazioni, specifica che non è richiesta la comunicazione all’interessato se è soddisfatta una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Il regolamento europeo per la protezione dei dati richiede che nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle sopra citate condizioni (previste dal paragrafo 3) è soddisfatta.
Nel caso in cui le organizzazioni non rispettino gli obblighi previsti dal regolamento in materia di data breach dal regolamento europeo si espongono al rischio di sanzioni pecuniarie fino a 10.000.000 euro o per le imprese fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
Il data breach mette al centro dell’organizzazione la valutazione del rischio; occorre infatti, valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio; occorre valutare anche il rischio per ci cittadini e utenti e verificare se è elevato (ad esempio quando si tratti di frode, furto di identità, danno all’immagine etc.).
La data breach costituisce, pertanto, un pilastro della sicurezza informatica ed una grande sfida delle pubbliche amministrazioni e imprese in quanto può essere, nell’ottica di trasparenza e accountability (responsabilizzazione) il volano per un nuovo rapporto sia con i cittadini e sia con l’Autorità Garante per la Protezione dei dati personali.
La comunicazione della data breach ed il nuovo impatto del regolamento europeo saranno oggetto di approfondimento in alcuni seminari gratuiti che si svolgeranno durante l’evento dello Joomla Festival che si svolgerà a Milano il prossimo 1 Ottobre 2016.
L’autore lavora presso l’Università degli Studi di Torino, fellow del Centro di ricerca su internet e società Nexa del Politecnico di Torino e direttore del Centro Studi di Informatica Giuridica di Ivrea Torino ma scrive a titolo personale
[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE): consultabile al link http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679
[2] CE, direttiva 95/46 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
[3] In Italia l’obbligo di comunicazione delle violazioni di dati personali è previsto attualmente, sono in alcuni specifici settori: telecomunicazioni, società telefoniche e internet provider, dati biometrici, sanitario, pubbliche amministrazioni ( v. per approfondimenti: Garante per la protezione dei Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) – 4 aprile 2013 ; Provvedimento n. 513 del 12 novembre 2014; Provvedimento n. 392 del 2 luglio 2015, Provvedimento n. 331 del 4 giugno 2015).
[4] Definizione di “violazione di dati” .v. art. 7, punto 12 del regolamento europeo
[5] Il titolare del trattamento è definito all’art.4, primo paragrafo, punto 7 «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
[6] v. considerando n. 86 del regolamento europeo del regolamento.
[7] come evidenziato dal considerando n. 86 del regolamento europeo.
