Violazione di dati personali – Le nuove regole comunitarie ed il pregresso nazionale

10/06/2016
di Leonardo

La crescita inarrestabile dei cyber attacchi compiuti con finalità criminali alle banche dati presenti sul nostro territorio e la mancanza di una disciplina uniforme sia a livello nazionale che europeo, volta quantomeno a prevenire tali fenomeni, hanno contribuito a determinare il nuovo assetto delle regole e degli obblighi comunitari in materia di data breach.

Violazioni-di-dati-personali---Gli-adempimenti-previsti-(infografica)Sulla scorta del mutato panorama europeo, l’Autorità Garante italiana ha razionalizzato e sintetizzato concettualmente in un’infografica a carattere divulgativo dello scorso maggio, l’esatta portata degli obblighi in materia e i soggetti particolari che devono attenervisi, secondo quanto dalla stessa stabilito in alcuni provvedimenti, che dal 2011 hanno contribuito a rafforzare i diritti degli interessati e la sicurezza dei dati personali trattati dai diversi titolari del trattamento.

Significato e obblighi

Ma cosa significa esattamente “data breach” e quali sono i nuovi obblighi introdotti dalla General Data Protection Regulation (di seguito GDPR) in vigore dallo scorso 24 maggio?

Il data breach è definito come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Il rischio connesso al verificarsi di tale fenomeno ha, pertanto, comportato l’introduzione di rigorosi obblighi di comunicazione, che i Data Controller dovranno rispettare.

Si rileva come una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, rappresentati da perdita del controllo dei dati personali o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie (se pensiamo ad incidenti di sicurezza relativi a banche dati ospitanti informazioni di natura economica), decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale che impatti significativamente sull’interessato.

Pertanto, non appena viene a conoscenza di una violazione, il Data Controller dovrà notificare l’evento all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile entro le 72 ore.

Alcuna notifica dovrà essere effettuata nei confronti dell’Autorità di Controllo laddove sia del tutto improbabile che la violazione dei dati personali subita dal Data Controller possa presentare un rischio per i diritti e le libertà delle persone fisiche, perché – esemplificando – la violazione ha riguardato dati anonimi ossia dati che non associabili ad un interessato identificato o identificabile.

Cosa dice il Regolamento Europeo (GDPR)

Sebbene, il GDPR contempli anche l’ipotesi di una notifica tardiva, effettuata dopo le 72 ore, seppur accompagnata e corredata dai motivi del ritardo, la presenza di un termine specifico comporta delle conseguenza sul contenuto degli accordi che il Data Controller dovrà predisporre nei confronti dei soggetti impegnati nel trattamento dei dati personali. A parere di chi scrive, pare assolutamente opportuno vincolare tali soggetti a specifichi obblighi di comunicazione nei confronti del Titolare, stabilendo anche limiti temporali serrati che permettano conseguentemente al Data Controller di perfezionare la notifica nei termini previsti. Tale previsione potrà accentuare il grado di accountability che il Regolamento richiede ai Data Controller, eventualmente dispensandoli da responsabilità derivanti da tardive od omesse notifiche del data breach. Da un punto di vista contrattuale, laddove si affidi ad un terzo un qualsiasi servizio che comporti la gestione dei dati personali diventa in ogni caso fondamentale predisporre clausole contrattuali ad hoc, Privacy Level Agreement o Data Processing Agreement all’interno dei quali specificare tali obblighi.

I contenuti della notifica

dirittoinf_25273204_xxlIl contenuto della notifica è parzialmente tipizzato dal GDPR, che riporta a titolo esemplificativo alcune delle informazioni che dovranno essere contenute nella comunicazione all’Autorità Garante: dalla descrizione della violazione all’indicazione delle categorie e del numero approssimativo di interessati e di registrazioni di dati personali, fino all’indicazione dei contatti di riferimento del DPO, ove nominato, e alla descrizione delle misure di sicurezza che siano state adottate dal Data Controller o che questi si propone di adottare per porre rimedio alla violazione subita, sì da attenuare i possibili effetti negativi.

Analogo obbligo di comunicazione della violazione, è previsto, nel nuovo Regolamento, per i Data Controller nei confronti dei diretti interessati, i cui dati siano stati attaccati, qualora l’evento dannoso sia suscettibile di presentare un elevato rischio per i diritti e le libertà dei medesimi. Il contenuto della comunicazione dovrà essere espresso con un linguaggio semplice e chiaro e riporta il medesimo contenuto della comunicazione diretta verso l’Autorità di controllo.

Quando la notifica può non avvenire?

Sebbene la comunicazione della violazione all’interessato possa essere in ogni momento imposta dall’Autorità di Controllo, i Data Controller potranno valutare di non effettuarla qualora:

  • abbiano messo in atto misure tecniche ed idonee a rendere incomprensibili (per esempio, cifrati) i dati a chiunque non fosse autorizzato ad accedervi;
  • sia stato scongiurato il rischio per gli interessati mediante l’adozione di misure adeguate predisposte tempestivamente dopo il verificarsi della violazione;
  • quando la comunicazione a ciascun singolo interessato richiede sforzi sproporzionati (perché, ad esempio, la platea di interessati è eccessivamente estesa. In tali casi ci dovrà essere una comunicazione pubblica ad informare i soggetti i cui dati personali siano stati colpiti dalla violazione con analoga efficacia.

Oltre ad obblighi di comunicazione, sono previsti in capo ai Data Controller obblighi di documentare qualsiasi violazione intervenuta, le circostanze relative a questa ed i provvedimenti adottati, onde permettere all’Autorità di Controllo di effettuare le verifiche del caso: un documento interno aziendale da tenere costantemente aggiornato a prova di avere adeguatamente rispettato gli obblighi imposti dalla normativa, sulla scorta dell’inventario istituito da Garante nel 2011 per le società telefoniche e gli internet provider.

Come e quando adeguarsi

Pare opportuno rammentare che il GDPR sebbene in vigore dalla suindicata data, diverrà applicabile solo al decorrere di due anni ossia a partire dal 25 maggio 2018. Nonostante tale termine dilazionato, le aziende dovranno iniziare fin da ora ad adeguarsi alle nuove procedure in materia di data breach, soprattutto nella stesura di quei contratti a durata pluriennale (onde evitare di procedere ad una nuova negoziazione una volta applicabile il GDPR), tenendo bene in considerazione la nuova e potenziata competenza sanzionatoria delle autorità di controllo che potranno procedere a sanzionare fino a 20 MIL di euro o al 4% del fatturato mondiale annuo.

Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commercialeSu tale nuovo impianto, dovranno essere tenuti comunque in considerazione i provvedimenti emanati dall’Autorità Garante che negli anni hanno contribuito a riempire il vuoto legislativo in materia e che hanno previsto specifichi obblighi di notifica in relazione a particolari tipologie di dati trattati e di soggetti titolari del trattamento.

Dal provvedimento del 2013 diretto ai provider dei servizi di comunicazione accessibile al pubblico, alle Linee guida sulla biometria del 2014, fino ai provvedimenti in materia di dossier sanitario elettronico e amministrazioni pubbliche del 2015.

Tutti i provvedimenti citati predispongono in capo ai titolari del trattamento specifici obblighi di comunicare all’Autorità Garante delle violazioni subite in limiti temporali ristretti: dalle 24 ore per le società TLC e ISP e per le violazioni che impattano su sistemi biometrici installati, fino a 48 ore per le strutture sanitarie pubbliche e private che trattano i dati mediante il dossier nonché per le amministrazioni pubbliche. Per le società telefoniche e gli Internet provider l’obbligo di comunicazione sussiste anche nei confronti di ciascun utente coinvolto entro 3 giorni dalla scoperta dell’evento, e come riportato dal Regolamento europeo, detta comunicazione non è dovuta se tali soggetti dimostrino di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono intelligibili i dati.

In conclusione

I casi fin d’ora esaminati impongono, dunque, una duplice riflessione. Da un lato, con l’entrata in vigore del GDPR le aziende non potranno più esimersi dal predisporre un sistema procedurale che vada a gestire e razionalizzare i processi e le funzioni interessate in caso di violazioni dei dati personali. Gli obblighi in precedenza sanciti solo per poche categorie di titolari, adesso sono estesi a tutti i soggetti che trattino dati personali e che si qualifichino come Data Controller secondo la normativa esaminata.

In secondo luogo, stante la “vacatio legis” di due anni del GDPR, fin da adesso le aziende saranno chiamate a strutturare l’assetto regolamentare degli obblighi che discendono in capo ai soggetti coinvolti attivamente nel trattamento, mediante la predisposizione (rectius) l’inclusione negli accordi contrattuali di regole specifiche relative alle comunicazioni delle violazioni, onde dimostrare di avere correttamente ed efficacemente applicato quanto previsto dalla neonata normativa europea.

Riproduzione riservata ©

ALTRE NEWS

Sistemi di videosorveglianza intelligenti: motion detection e verifiche preliminari

In ossequio a quanto prescritto nel provvedimento generale in materia di videosorveglianza dell´8 aprile 2010 (punto 3.2), il titolare dei dati per procedere all’installazione di… Leggi Tutto

I dati personali, la rete e il fattore tempo: la normativa scarseggia!

Il problema ricorre spesso, anzi troppo! Una volta che una persona viene inserita in una pagina web per un fatto di cronaca, una sentenza o… Leggi Tutto

L’obbligo della casella di posta elettronica nella PA

Il 12 gennaio 2004, sulla Gazzetta Ufficiale è stata pubblicata la Direttiva datata 27 novembre 2003, emessa dalla Presidenza del Consiglio dei Ministri – Dipartimento… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.