Chi subisce un data breach, oltre a misurarsi con gli eventuali disservizi che ne derivano, ha una fondamentale preoccupazione: evitare che l’incidente subìto, soprattutto se frutto di un attacco dall’esterno, si trasformi in un danno d’immagine tanto intenso da poter risultare addirittura più pericoloso degli effetti pratici della violazione. Si può quindi affermare che nella disciplina dettata dal GDPR agli art. 33 e ss., uno degli elementi più critici sia rappresentato proprio dall’adempimento della “comunicazione agli interessati”, mediante la quale il titolare del trattamento è onerato di dare la ferale notizia del breach ai soggetti (e possono essere una moltitudine) che ne subiscono direttamente o indirettamente gli effetti.
Il focus che segue sull’istituto, con particolare riguardo ai data breach frutto di attacchi informatici, si pone quindi sul crinale di un lavoro di ‘coinvolgimento informativo’, ormai indifferibile in ogni ambito. C’è da superare infatti, e sarebbe miope negarlo, una soglia di diffidenza che, come fosse una sorta di riflesso condizionato, accompagna l’approccio ai temi della cybersecurity in generale e, nello specifico, alla emersione (nel rapporto con il Garante e con gli interessati) di un attacco subito. Una pericolosissima disaffezione ben rappresentata, da ultimo, nel Rapporto Cyber Index PMI cui ha collaborato l’Agenzia per la cybersicurezza nazionale, secondo il quale “solo il 15% delle PMI intervistate adotta un approccio strutturato alla cybersecurity, mentre il 56% risulta poco consapevole o totalmente impreparato, con una quota del 44% che riconosce il rischio cyber ma senza intervenire in maniera efficace”.
Proviamo allora a capirlo il meglio possibile: a cosa serve, quando va effettuata e come, la comunicazione agli interessati in caso di data breach.
Indice degli argomenti
Comunicazione agli interessati tra informazione e tutela
Dal punto di vista metodologico, esiste una domanda preliminare ed assolutamente decisiva da affrontare per approcciare nel modo giusto la disciplina dell’art. 34 GDPR: a cosa serve la comunicazione agli interessati?
L'AI Act impone nuove regole. Rischi sanzioni fino al 7% del fatturato? Scopri come evitarle nel White Paper!
Solo ad informare? Se così fosse, la ritrosia all’effetto “sputtanante” tanto temuto sarebbe forse anche giustificata.
Ma il problema è proprio questo: se si analizzano alcuni fondamentali punti di riferimento normativo ed interpretativo (con particolare riferimento alle Linee Guida 09/22 dell’European Data Protection Board), emerge infatti con chiarezza come la vera ratio della comunicazione non sia affatto la informazione fine a sé stessa:
- il GDPR, al considerando 86, espressamente recita: “Il titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali … al fine di consentirgli di prendere le precauzioni necessarie”. Nel redigerla, il titolare del trattamento dovrebbe “formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi”;
- le Linee guida dei Garanti Europei specificano: “’obiettivo principale della comunicazione agli interessati consiste nel fornire loro informazioni specifiche sulle misure che questi possono prendere” per mitigare gli effetti negativi della violazione;
- lo stesso art. 34 GDPR, al par. 3 prevede che la comunicazione non è richiesta nei casi in cui un pregiudizio per gli interessati potenzialmente cagionato dal breach sia stato scongiurato dal titolare del trattamento in due momenti: * a monte (cfr. par. 3 lett. a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura”) oppure: * dopo il verificarsi degli effetti dell’attacco (cfr. par. 3 lett. b) “il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1”.
In un contesto come questo, si può e si deve affermare che il coinvolgimento diretto degli interessati mediante la comunicazione ex art. 34 ha nel sistema un ruolo che non è niente affatto “informativo”, ma va visto piuttosto come funzionale alla migliore protezione delle persone coinvolte.
Se quindi degli oneri ed onori della accountability si fa un uso consapevole e compiuto, ben può affermarsi che anche laddove il breach presenti degli effetti apparentemente devastanti, ciò non equivale in nessun modo a considerare automaticamente dovuta la comunicazione agli interessati, e se la stessa fosse finalizzata soltanto ad informarli, allora si dovrebbe escludere in radice la sua obbligatorietà.
Di tanto tutti gli attori del sistema (dal titolare del trattamento al Garante) dovrebbero tenere sempre debito conto.
Quando è necessaria la comunicazione del data breach
Quando si verifica un data breach, come noto, la prima valutazione che è chiamato ad operare il titolare del trattamento attiene alla “probabilità che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche” (art. 33): soltanto in tal caso, scatterà l’obbligo di notifica al Garante. Diversi, come è altrettanto noto, i presupposti per la comunicazione agli interessati: in una sorta di escalation critica, questo adempimento entra in gioco soltanto laddove la violazione sia “suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 34).
È quindi ovvio che:
- se il titolare ha correttamente ritenuto di non notificare la violazione, assumendo che il rischio è improbabile, viene meno di default la possibilità logica che quel titolare sia obbligato ad effettuare la comunicazione agli interessati;
- se il titolare ha effettuato la notifica, perché ha valutato probabile il rischio, non è per nulla detto che sia comunque tenuto alla comunicazione agli interessati, se quel rischio non è al contempo ritenuto “elevato”.
Diventa allora fondamentale comprendere cosa sia che porta la criticità al livello di “elevatezza”.
La risposta la danno le Linee Guida citate: “il rischio sussiste quando la violazione può comportare un danno fisico, materiale o immateriale per le persone fisiche i cui dati sono stati violati.”
I Garanti Europei forniscono una serie importante di esempi che attengono sia agli effetti del pregiudizio (“la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie, reputazione”) sia alla natura ex se del dato violato, ove appartenente alle categorie dei dati particolari e relativi a condanne penali (“dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, oppure che includono dati genetici, dati relativi alla salute o dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza”).
E sempre nelle Linee Guida, è riportata un’ analiticissima elencazione dei vari fattori di rischio da valutare in concorso tra loro, accompagnata da esempi pratici e tale da poter costituire una utile mappa da seguire per verificare se il caso del quale è investito il titolare rientri o meno nella categoria del “rischio elevato” (ravvisato, dai Garanti Europei, ad esempio in un attacco ransomware che determini la indisponibilità dei dati, ed escluso, dagli Stessi, in ipotesi di sottrazione di una chiavetta USB che contenga un backup di un archivio di dati personali crittografati – cfr. All. B alle Linee Guida).
Tempistiche per la comunicazione del data breach agli interessati
L’art. 34 dispone che la comunicazione, ove dovuta, sia effettuata “senza ingiustificato ritardo”.
Non esiste quindi una timeline preconfezionata (come le 72 ore previste dall’art. 33 per la notifica preliminare all’Autorità), e tale scelta normativa si spiega agevolmente già sulla sola base della lettura del Considerando 86 che, dopo aver chiarito che la comunicazione deve esser effettuata “appena ragionevolmente possibile” e “tempestivamente”, specifica anche che “la necessità di attuare opportune misure per contrastare violazioni di dati personali ripetute o analoghe potrebbe giustificare tempi più lunghi per la comunicazione”.
Tradotto: non bisogna dormire. Ma non bisogna nemmeno correre.
Lo chiariscono bene le Linee guida: “Non appena il titolare del trattamento viene a conoscenza di una violazione, è fondamentale che non si limiti a contenere l’incidente, ma valuti anche il rischio che potrebbe derivarne…..la comunicazione tempestiva aiuterà le persone a prendere provvedimenti per proteggersi da eventuali conseguenze negative della violazione.”
Anche nella tempistica, quindi, individuare un punto di equilibrio è, ancora una volta, rimesso in piena accountability a scelte ponderate del titolare del trattamento, che ben farà ovviamente a lasciarne una traccia documentabile (es: redigendo degli appositi verbali che attestano logica e presupposti delle scelte adottate).
Se dunque l’attacco ha comportato una violazione che, per essere minimizzata nei suoi effetti, postuli un’attività a cura dall’interessato, il concetto di tempestività andrà valutato con assoluto rigore (es: violazione di credenziali di accesso ad un sistema e necessità che gli interessati modifichino la password – ne sanno qualcosa gli avvocati, coinvolti lo scorso anno in un breach relativo alle caselle PEC).
Se invece la violazione nell’immediato, pur nella sua virulenza, non ha ancora manifestato compiutamente i suoi effetti, prendersi del tempo in più prima di effettuare la comunicazione non solo è possibile, ma anche necessario (es: esfiltrazione di file il cui contenuto deve essere individuato con un’attività di analisi lunga e complessa).
Contenuto e modalità della comunicazione di un data breach
Come imposto dall’art. 34 par. 2, la comunicazione deve essere caratterizzata da un “linguaggio semplice e chiaro”, e deve contenere (in virtù del richiamo all’art. 33), oltre al nome ed ai dati di contatto del DPO o di altro referente dal quale ottenere informazioni, una descrizione delle conseguenze potenziali della violazione, e delle misure che il titolare propone all’interessato per attenuare gli effetti negativi degli attacchi.
Vanno quindi evitate pompose ed autoreferenziali missive gravide di riferimenti normativi ed illeggibili per il grande pubblico, e va preferito un approccio sostanzialista e colloquiale, che faccia capire bene all’interessato cosa deve fare per contenere il rischio, e come deve farlo (le Linee Guida si spingono, sul punto, a prevedere che il titolare debba “fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione”).
Quanto poi agli strumenti di comunicazione da utilizzare, nella declinazione pratica dell’incombente bisogna prediligere ancora una volta la sostanza, ricorrendo a strumenti che siano effettivamente in grado di arrivare a conoscenza dell’interessato in modo diretto e senza complicazioni.
Vanno evitati, quindi, come chiarito dai Garanti Europei, strumenti non dedicati come “aggiornamenti regolari, newsletter o messaggi standard, blog aziendali”, nei quali la comunicazione rischia di perdersi in mezzo ad altre informazioni, e vanno utilizzati metodi diretti e trasparenti, quali “posta elettronica, SMS, messaggio”, da utilizzare non necessariamente in modo alternativo, anzi : la utilizzazione di “diversi metodi di comunicazione, anziché un singolo canale di contatto”è considerata nelle Linee Guida, e nell’esperienza sul campo anche dal nostro Garante, un elemento potenzialmente decisivo per poter arrivare al risultato sostanziale di raggiungere gli interessati.
Comunicazione data breach “per pubblici proclami“
Fra le ipotesi che escludono in radice l’obbligatorietà della comunicazione one to one, l’art. 34 par. 3 lett. c) contempla espressamente la ipotesi in cui la stessa “richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia”.
Nell’ipotesi, per nulla astratta, di decine di migliaia di persone coinvolte da un breach, il titolare del trattamento ben potrà quindi ricorrere ad una sorta di comunicazione “per pubblici proclami” (tanto per mutuare il wording di un istituto previsto anche dal codice di procedura civile – art. 150), sempre però preservando l’elemento cardine della effettiva raggiungibilità degli stessi. A tale fine, resta fermo il richiamo alla categoria della multicanalità, come veicolo per assicurare la più ampia diffusione della comunicazione.
Ad esempio, dunque, la pubblicazione su un quotidiano cartaceo potrebbe tranquillamente esser considerata una misura in sé insufficiente, a maggior ragione alla luce del crollo verticale della tiratura dei giornali analogici tradizionali, tradottosi nei casi di alcune testate in una riduzione nell’arco degli ultimissimi anni da 700.000 a 100.00 copie distribuite al giorno.
Nello stesso modo, la pubblicazione sulla home page del sito del titolare del trattamento, presa isolatamente, potrebbe non bastare, a maggior ragione se nella impostazione del banner non si adottano misure tecniche intese a non fargli fare la fine, triste e nota, delle fallimentari soluzioni adottate in materia di gestione delle cookies policies.
Se si fa ricorso alla comunicazione “pubblica”, ci si deve quindi premurare di muoversi su più direttrici (esempio: home page + comunicato stampa + gazzetta ufficiale) e nel modo più capillare possibile (esempio: in un ambito territoriale circoscritto, anche una testata che abbia una tiratura limitatissima può risultare più “letta” dalla popolazione rispetto alla grande stampa nazionale).
Rapporto con il Garante nella gestione della comunicazione di un data breach
Nel modulo messo a disposizione dal Garante sul proprio sito per la effettuazione della notifica preliminare, è prevista una specifica sezione dedicata alla comunicazione ex art. 34.
Ferma la ovvia improbabilità che, in primissima battuta, il titolare sia già stato in grado nelle 72 ore di provvedere anche ad effettuare le comunicazioni agli interessati (ciò che rende quella sezione, di fatto, quasi sempre inservibile), un elemento che va assolutamente valorizzato è quello di una relazione virtuosa con l’Autorità.
Ed infatti, come previsto espressamente nel considerando 88 (che parla di “stretta collaborazione con l’Autorità”) e ribadito anche nelle Linee guida dell’EPDB, “il titolare del trattamento potrebbe contattare e consultare l’autorità di controllo non soltanto per chiedere consiglio sull’opportunità di informare gli interessati in merito a una violazione ai sensi dell’articolo 34, ma anche sui messaggi appropriati da inviare loro e sul modo più opportuno per contattarli”.
Non bisogna quindi essere troppo timidi (o troppo “coperti”), e concordare con l’Autorità le mosse da fare prima di farle, può essere un’ottima idea per evitare problemi futuri, anche in considerazione di quanto previsto dall’art. 34 par. 4, a tenore del quale “nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda” .
Perché esporsi a questo rischio? Molto meglio muoversi in anticipo, procedendo quindi ad una comunicazione soltanto dopo che i contenuti, tempi di evasione e gli strumenti di comunicazione siano stati già vagliati e validati in una interlocuzione trasparente con il Garante, i cui compiti in tale ambito non sono contestabili, essendo previsti da precise norme di legge e da altrettanto analitiche indicazioni impartite a livello Europeo nelle Linee Guida.
L’importanza di gestire correttamente la comunicazione del data breach
La portata e la frequenza degli attacchi informatici sono tali da determinare una sorta di rischio immanente che incombe su tutti gli operatori, pubblici o privati (per rendersene conto, è sufficiente analizzare anche sommariamente gli Operational Summary pubblicati periodicamente dal CSIRT Italia sul sito dall’Agenzia della Cybersicurezza Nazionale).
Non è dunque pessimistico affermare che per ogni azienda, pubblica amministrazione, professionista, esiste un’alta probabilità di poter esser oggetto di un attacco informatico.
Affrontare questa evenienza con consapevolezza e rigore, permette di gestire in modo equilibrato e corretto anche un adempimento così urticante come la eventuale comunicazione agli interessati.
Non farlo, ed affidarsi a decisioni raffazzonate o solo apparentemente furbe, espone al contrario a grandissimi pericoli, e se da un lato non è mai stato utile e corretto utilizzare lo spauracchio delle sanzioni come strumento di education pubblica, dall’altro non si può nemmeno far finta di non vedere che la violazione dell’art. 34 rientra tra quelle punite dall’art. 83 par. 4 con la famigerata sanzione fino a € 10.000.000 e, per le imprese, fino al 2 % del fatturato mondiale annuo, se superiore.
Proteggi la tua infrastruttura IT dai cyber-attacchi, scopri come!
