Il 28 marzo 2023 sono state adottate le linee guida 09/2022 sulla notifica di un data breach, dopo una consultazione pubblica aperta lo scorso ottobre.
In corso di consultazione pubblica sono state proposte alcune modifiche, tra cui quelle confluite nella versione finale riguardano il paragrafo 70 e successivi delle linee guida.
Data Breach, come si fa la notifica al Garante privacy: guida pratica per aziende
Le principali novità
Ai sensi dell’art.4, (12) del GDPR, per data breach si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Il meccanismo “one-stop-shop”
Le principali novità riguardano il cosiddetto meccanismo “one-stop-shop”. Nello specifico, il caso in cui il titolare del trattamento dei dati non abbia una sede all’interno dell’UE. In tale circostanza, la notifica di data breach deve essere trasmessa all’autorità garante di ogni Stato membro in cui risiedono gli interessati nel loro Stato membro. Questa (o queste) notifiche sono di competenza del titolare del trattamento. In tal caso, si esclude esplicitamente l’applicazione del meccanismo “one-stop-shop”. Nella precedente versione, si riteneva sufficiente la notifica del data breach all’Autorità competente del paese presso cui risiedeva il rappresentante. Adesso invece la notifica dovrà avvenire verso le autorità garanti dei vari paesi, in base agli interessati coinvolti.
Ad un titolare del trattamento viene infatti richiesto, entro le 72 ore dalla scoperta di un data breach, di avere chiara la provenienza geografica degli interessati. Alcuni esperti esprimono perplessità anche in relazione alle modalità con cui tali informazioni dovranno essere acquisite e poi utilizzate per adempire a tali obblighi.
Le modifiche all’Allegato VII del diagramma operativo da seguire in caso di data breach
Inoltre, è stato modificato l’Allegato VII delle Linee Guida. Ecco di seguito il diagramma operativo aggiornato da seguire in caso di data breach:
Titolare del trattamento “aware” del data breach
L’art 33 del GDPR specifica che in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
Nelle Linee guida, l’EDPB fornisce ai titolari del trattamento alcuni esempi, elencando dei “momenti in cui il titolare viene a conoscenza” di una violazione. Ad esempio:
- il titolare riceve una e-mail da un cliente che avvisa di aver ricevuto un contatto da un terzo che impersonava il titolare del trattamento. Si presume che quindi l’anonimo abbia avuto accesso ai dati del titolare stesso del trattamento. Viene condotta una rapida indagine in grado di confermare l’allerta del cliente. Questo è il “momento” e inizia il decorso delle 72 ore.
Dal momento in cui il titolare viene a conoscenza di un data breach deve, anzitutto, comprenderne le caratteristiche. L’EDPB specifica che il titolare deve verificare:
- se la violazione comporti un rischio per i diritti e le libertà degli interessati coinvolti;
- il tipo di violazione;
- la natura, la tipologia e la quantità di dati compromessi;
- le possibili conseguenze per gli interessati;
- il numero di interessati coinvolti.
Ampliati gli esempi di data breach
I seguenti esempi, non esaustivi, forniscono diversi scenari di violazione dei dati personali per i titolari del trattamento. Questi esempi possono aiutare il titolare a distinguere tra rischio ed elevato rischio per i diritti e le libertà delle persone.
| Esempio | Notifica all’Autorità competente | Notifica ai soggetti interessati | Note/Raccomandazioni |
| Il Titolare del trattamento ha memorizzato un backup di un archivio di dati personali crittografato su una chiavetta USB. La chiave viene rubata. | No | No | |
| Un titolare gestisce un servizio online. A seguito di un attacco informatico a tale servizio, i dati personali vengono rubati. Il titolare del trattamento ha clienti in un solo Stato membro. | Sì, segnalare all’Autorità competente se ci sono probabili conseguenze per interessati. | Sì, segnalare agli interessati a seconda della natura dei dati personali interessati e se la gravità delle probabili conseguenze per gli interessati sono elevate. | |
| Una breve interruzione di corrente della durata di alcuni minuti presso un call center di un Titolare, il che significa che i clienti non sono in grado di chiamare il Titolare e accedere ai propri dati. | No. | Non si tratta di una violazione notificabile, ma di un incidente registrabile ai sensi dell’articolo 33(5). | Il registro dei data breach deve essere conservato dal Titolare del trattamento. L’EDPB afferma poi che nulla vieta di affidare al DPO l’incarico di tenere il registro dei data breach, anche se questo compito non rientra tra quelli “ordinari” dello stesso. |
