1. Ipotesi di data breach
Il Regolamento Europeo della privacy 2016/679 [1] (c.d. GDPR), tra i vari istituti giuridici, delinea il “data breach”, definito come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (1); il GDPR dettaglia l’iter della notifica al Garante della Privacy e della comunicazione all’interessato (2).
Quando si sente parlare di data breach si tende a ricondurre l’ipotesi alle violazioni dei dati poste in essere intenzionalmente (ad es. l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; attacchi esterni, virus, malware; il furto di dispositivi informatici contenenti dati personali; la deliberata alterazione di dati personali), o in modo del tutto accidentale e incontrollabile (perdita di dispositivi informatici, perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità), sottovalutando il rischio che esso possa configurarsi persino nella gestione ordinaria di un rapporto di lavoro nella P.A.: pensiamo al caso di mutamento di mansioni di un dipendente (ad es. per mobilità interna, progressioni, riorganizzazione); di trasmissione di dati personali ad un settore o un ufficio diverso dall’effettivo destinatario; al dipendente che utilizza le credenziali di un collega, con la complicità o all’insaputa di questi; persino al caso in cui ci sia un errore di profilazione del dipendente, abilitato a gestire procedure non rientranti nel suo ambito di competenza.
All’interno delle P.A. il titolare deve formalizzare con un atto di designazione l’ambito di trattamento consentito ad ogni dipendente, come enucleato nel registro di trattamento. Quest’ultimo contiene le categorie di attività svolte per conto del titolare del trattamento, le tipologie di dati trattati, i destinatari, le misure di sicurezza da porre in essere. Il registro di trattamento e l’atto di designazione devono essere costantemente aggiornati, fotografando la situazione reale dell’Ente: ogni dipendente può essere autorizzato al trattamento dei soli dati personali inerenti le specifiche mansioni a lui attribuite, pena il configurarsi di un trattamento illecito. Dal punto di vista informatico, oltre al responsabile della protezione dei dati (DPO), chiamato a fornire assistenza nella prevenzione delle violazioni e consulenza per assicurare il rispetto della normativa, occorre che venga informato il CED, che deve modificare il profilo del dipendente, abilitandolo alle attività connesse alle mansioni attualmente svolte.
Se l’aggiornamento del profilo non viene eseguito correttamente e il dipendente accede a dati non (più) di sua competenza, è innanzitutto obbligo di quest’ultimo segnalare la possibilità di accesso indebito, nel rispetto degli obblighi di lealtà e correttezza gravanti sui pubblici dipendenti e della collaborazione diligente richiesta dall’art. 57 CCNL 21/05/2018 [2], pena l’applicazione di sanzioni disciplinari (3). Naturalmente, per dare luogo a tali sanzioni, occorre valutare correttamente l’elemento soggettivo (intenzionalità del comportamento e prevedibilità dell’evento): ben diverse sono le ipotesi di errore nella creazione del profilo di abilitazione rispetto all’introduzione abusiva nei programmi di gestione dei dati personali, ad esempio tramite credenziali di altro profilo con più ampia abilitazione o con quelle di amministratore di sistema. In tal senso è da segnalare la pessima pratica, invalsa in molti enti pubblici, di appuntare il nome utente e la password sullo schermo del computer, alla mercé di terzi, o di utilizzare le credenziali del collega assente ma unico abilitato a gestire una determinata procedura. E’ da rilevare che un ruolo fondamentale di sensibilizzazione al corretto utilizzo dei profili di accesso viene svolto dalla formazione, che deve rendere il dipendente edotto degli obblighi e delle conseguenze su di lui gravanti a seguito dell’entrata in vigore del GDPR.
L’attività formativa è una misura fondamentale, che concorre a dimostrare l’accountability (auto-responsabilizzazione), concetto introdotto dall’art. 24 GDPR: ai titolari è demandato il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, ma essi devono essere in grado di dimostrare che il trattamento dei dati personali effettuato sia effettivamente conforme a tutte le disposizioni del Regolamento, pena l’applicazione di pesantissime sanzioni amministrative pecuniarie (fino a € 20.000.00,00).
2. Il sistema di gestione privacy
Il titolare, con il supporto del DPO, deve dotarsi di un sistema di gestione della privacy, che pianifichi tutti i processi, per essere in grado di rilevare tempestivamente e limitare gli effetti di una violazione. Il sistema deve prevedere:
1. La rapida segnalazione della violazione al livello superiore appropriato di gestione;
2. L’individuazione dei settori organizzativi che devono essere immediatamente coinvolti al verificarsi di una violazione;
3. L’obbligo del responsabile del trattamento di fornire tempestiva notizia al titolare delle violazioni intervenute;
4. La procedura da seguire per contenere, gestire e porre rimedio all’incidente;
5. Le modalità di valutazione del rischio;
6. L’iter per la notifica della violazione all’autorità di controllo nei termini regolamentari (4) ed eventuale comunicazione agli interessati;
7. La predisposizione del registro nel quale annotare e descrivere l’evento avvenuto e le contromisure poste in essere, previo parere del DPO sulla struttura e l’impostazione della documentazione.
Per garantire l’efficacia del sistema e dimostrare la compliance del sistema al Regolamento 2016/679 [1], il titolare deve assicurarsi che tutti i responsabili e i dipendenti siano informati dell’esistenza di tali procedure. L’efficienza del sistema deve consentire al titolare di venire rapidamente a conoscenza di ogni violazione acquisendo celermente le più ampie informazioni, per poter decidere le azioni da intraprendere. Si tenga conto che la responsabilità della notifica, e soprattutto le conseguenze dell’omesse notifica laddove obbligatoria, ricadono completamente sul titolare (5).
Ruolo fondamentale sia in fase di predisposizione del sistema privacy, sia nel caso di successive problematiche, fino all’ipotesi del verificarsi di un data breach, è svolto dal DPO, chiamato a cooperare con l’autorità di controllo e fungere da punto di contatto per l’autorità di controllo e per gli interessati (6).
Altrettanto rilevante è il compito del responsabile del trattamento, il quale ha più diretto contatto con la fase gestionale, ed è meglio in grado di rilevare anomalie di funzionamento. Nel caso in cui si verifichi una violazione, anche solo presunta, costui non è tenuto a valutare la probabilità di rischio derivante dalla violazione, ma solo a stabilire se si è verificata una violazione e notificarla al titolare del trattamento “senza ingiustificato ritardo” (7).
Un sistema di gestione privacy ben impostato deve essere in grado di far rilevare tramite un alert una situazione anomala, che possa preludere ad una violazione dei dati. La P.A. deve essere pronta ad intervenire secondo gli step dettagliati nelle procedure interne, anzitutto andando a ricostruire se e quando si sono verificati gli accessi abusivi, possibilmente ricostruendo le attività indebite svolte durante gli accessi.
Indipendentemente dal fatto che una violazione debba o meno essere notificata all’autorità di controllo, il titolare del trattamento deve conservare la documentazione di tutte le violazioni, registrando i dettagli relativi, comprese le cause, i fatti e i dati personali interessati, gli effetti e le conseguenze della violazione e i provvedimenti adottati per porvi rimedio. Il regolamento non specifica un periodo di conservazione di questa documentazione, che tuttavia deve essere idoneo a consentire al titolare di fornire prova all’autorità di controllo in merito al rispetto delle procedure di cui all’art. 33 paragrafo 5. Per definire i termini di conservazione vanno distinte le ipotesi in cui i registri contengano dati personali (nel qual caso spetta al titolare del trattamento stabilire il periodo appropriato di conservazione), rispetto all’ipotesi in cui non vi siano dati personali (in questo frangente il principio di limitazione della conservazione previsto dal regolamento non si applica).
Oltre alle informazioni richieste dal GDPR, il Gruppo di lavoro raccomanda al titolare del trattamento di documentare nel registro anche il ragionamento alla base delle decisioni prese in risposta a una violazione. In particolare, se una violazione non viene notificata, è opportuno documentare una giustificazione di siffatta decisione. La giustificazione dovrebbe includere i motivi per cui il titolare del trattamento ritiene improbabile che la violazione possa presentare un rischio per i diritti e le libertà delle persone fisiche. In alternativa, se ritiene che una delle condizioni di cui all’art. 34, paragrafo 3, sia soddisfatta, il titolare del trattamento dovrebbe essere in grado di fornire prove adeguate della circostanza che ricorre nel caso di specie.
Se il titolare del trattamento notifica una violazione all’autorità di controllo, ma la notifica avviene in ritardo, il titolare del trattamento deve essere in grado di fornire i motivi del ritardo; la documentazione relativa a tale circostanza potrebbe contribuire a dimostrare che il ritardo nella segnalazione è giustificato e non eccessivo.
Di conseguenza, conservando le prove di tale comunicazione, il titolare del trattamento faciliterebbe la dimostrazione della propria assunzione di responsabilità e del proprio rispetto delle norme.
3. La notifica all’Autorità di controllo
Di fronte ad un accesso indebito a dati personali, sorge l’obbligo per il titolare di valutare i comportamenti conseguenti da porre in essere, ovvero se si ricada nelle fattispecie in cui egli sia tenuto ad effettuare la notifica e la comunicazione, disciplinate dagli artt. 33 e 34 GDPR.
Un aiuto per districarsi nella tematica proviene dal “Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali” (8), il quale, per fornire un orientamento univoco nell’applicazione della normativa europea, ha elaborato apposite linee guida in data 3 ottobre 2017, poi emendate in data 6 febbraio 2018.
A differenza della disciplina previgente, il GDPR rende ora la notifica obbligatoria per tutti i titolari del trattamento, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre ai danni fisici, i danni materiali o immateriali sono stati enucleati in via esemplificativa nei seguenti: perdita del controllo sui propri dati personali, limitazione di alcuni diritti, discriminazione, furto d’identità, rischio di frode, perdita di riservatezza dei dati personali protetti dal segreto professionale, perdita finanziaria, danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
Importante è, pertanto, scrutinare quest’ultimo concetto di rischio, tenuto conto che una omessa notifica, nonostante siano soddisfatte le prescrizioni di cui agli artt. 33 e/o 34, comporta che l’autorità di controllo possa imporre una sanzione amministrativa pecuniaria appropriata, unitamente ad una misura correttiva ai sensi dell’art. 58, paragrafo 2, oppure come sanzione indipendente. Qualora l’autorità opti per una sanzione amministrativa pecuniaria, il suo valore può ammontare fino a un massimo di € 10.000.000 o fino al 2% del fatturato totale annuo globale (9).
Già nel parere 03/2014 sulla notifica delle violazioni, il Gruppo di lavoro aveva spiegato che le violazioni possono essere classificate in base ai seguenti tre principi:
• “violazione della riservatezza”, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
• “violazione dell’integrità”, in caso di modifica non autorizzata o accidentale dei dati personali;
• “violazione della disponibilità”, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.
Una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse. Le P.A. gestiscono una molteplicità di dati personali, quindi va valutato nella specifica fattispecie concreta se si tratti di dati comuni, particolari o giudiziari, per valutare la gravità dei rischi conseguenti.
E’ compito del titolare del trattamento valutare caso per caso la probabilità e la gravità dell’impatto dell’indisponibilità dei dati personali sui diritti e sulle libertà delle persone fisiche e valutare gli adempimenti conseguenti, con il supporto del DPO e tramite una efficiente comunicazione con il responsabile del trattamento.
Nel momento in cui il responsabile notifica al titolare la violazione, il titolare viene considerato “a conoscenza” del data breach: da tale momento decorre il termine di 72 ore per la notifica all’Autorità di controllo ai sensi dell’art. 33, paragrafo 1, e per la comunicazione alle persone fisiche interessate ai sensi dell’art. 34, paragrafo 1.
Il GDPR contempla l’ipotesi in cui, entro 72 ore dal momento in cui ne è venuto a conoscenza, il titolare del trattamento non disponga di tutte le informazioni connesse alla violazione, che possono influire sull’obbligo di notifica o meno; per tale motivo viene consentita una notifica per fasi. Lo stesso modello di notifica del Garante della Privacy (10) è articolato in una notifica preliminare, una completa e una integrativa, in relazione alla necessità di approfondire le indagini e capire il livello di rischio generato dalla violazione.
Secondo l’art. 33, paragrafo 1 la notifica non è dovuta se è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Il Gruppo di lavoro ha enucleato alcune ipotesi che descrivono tale casistica:
1. dati personali già disponibili pubblicamente;
2. dati personali resi incomprensibili ai soggetti non autorizzati;
3. dati personali correttamente crittografati o protetti con pseudonimizzazione.
Anche la natura dei dati personali violati influisce sul livello di rischio presentato per le persone fisiche: in via generale più i dati sono sensibili, maggiore è il rischio di danni per le persone interessate, anche se va tenuto presente che dati non sensibili, che nella generalità dei casi non costituiscono un rischio, in determinati frangenti assumono massimo rilievo e potrebbero determinare un rischio molto grave per l’interessato.
Altra scriminante può essere desunta dalla valutazione se l’accesso indebito riguardi un unico dato sensibile o una combinazione, perché l’acquisizione di più dati sensibili usati congiuntamente può portare ad una usurpazione di identità; va valutata la permanenza delle conseguenze per le persone fisiche laddove l’impatto possa essere considerato maggiore qualora gli effetti siano a lungo termine; se ci sia facilità di identificazione delle persone fisiche a cui i dati personali compromessi si riferiscono (11); la numerosità delle persone fisiche i cui dati vengono violati; la gravità è valutata in relazione alla incidenza sui minori o persone fisiche vulnerabili.
Se si tratta di dati inviati o venuti a conoscenza all’interno dell’ente preposto, ma conosciuti da un ufficio diverso dall’effettivo destinatario, il titolare può chiedere al destinatario di restituire o distruggere in maniera sicura i dati ricevuti: in virtù del rapporto continuativo in essere, il titolare può confidare che il destinatario non intraprenderà ulteriori azioni in merito agli stessi e restituirà tempestivamente i dati al titolare del trattamento, cooperando per garantirne il recupero. L’affidabilità del destinatario, pertanto, può neutralizzare la gravità delle conseguenze della violazione, anche se questo non significa che non si sia verificata una violazione.
Se la probabilità che la violazione presenti un rischio per le persone fisiche viene meno, non si rende necessaria la notifica all’autorità di controllo né la comunicazione alle persone fisiche interessate, tuttavia il titolare del trattamento deve conservare informazioni relative alla violazione nel contesto del suo dovere generale di tenere traccia di qualsiasi tipo di violazione.
4. La comunicazione agli interessati
La notifica all’autorità di controllo è obbligatoria a meno che sia improbabile che dalla violazione possano derivare rischi per i diritti e le libertà delle persone fisiche, mentre l’obbligo di informare gli interessati scatta laddove la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche: la soglia per la comunicazione delle violazioni alle persone fisiche è pertanto più elevata rispetto a quella della notifica alle autorità di controllo.
Allatto della notifica all’autorità di controllo, il titolare del trattamento può ottenere consulenza sull’eventuale necessità di informare le persone fisiche interessate, perché l’autorità di controllo può ordinare al titolare del trattamento di informare senza indugio le persone fisiche interessate dalla violazione.
La comunicazione della violazione alle persone fisiche interessate è funzionale a consentire al titolare del trattamento di fornire loro informazioni sui rischi derivanti dalla violazione e sui provvedimenti che esse possono prendere per proteggersi dalle potenziali conseguenze della violazione. Laddove emerga in modo evidente la gravità delle conseguenze, la comunicazione potrebbe persino aver luogo prima della notifica all’autorità di controllo, né la notifica all’autorità di controllo può fungere da giustificazione per la mancata comunicazione della violazione all’interessato laddove la comunicazione sia dovuta.
La comunicazione agli interessati deve essere efficace e tempestiva ed usare un linguaggio chiaro e semplice, come indicato dalle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679 [1]“, proprio per consentire agli interessati di comprendere appieno le conseguenze e le modalità per attenuare il pregiudizio subito.
Esempi di danno fisico, materiale o immateriale per le persone fisiche i cui dati sono stati violati sono: la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie e il pregiudizio alla reputazione. Il verificarsi di tale danno dovrebbe essere considerato probabile quando la violazione riguarda dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, oppure che includono dati genetici, dati relativi alla salute o dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza. I considerando 75 e 76 del regolamento suggeriscono che, di norma, nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità del rischio per i diritti e le libertà degli interessati. Inoltre il regolamento afferma che il rischio dovrebbe essere valutato in base a una valutazione oggettiva.
Ornella Rossi
(1) Art. 4, punto 12 del Regolamento 2016/679.
(2) Artt. 33 e 34 GDPR
(3) L’art. 59 comma 3 CCNL 21/05/2018 Comparto Enti Locali prevede la sanzione dal minimo del rimprovero verbale o scritto al massimo della multa di importo pari a quattro ore di retribuzione per inosservanza delle disposizioni di servizio, condotta non conforme a principi di correttezza verso superiori o altri dipendenti o nei confronti degli utenti o terzi, negligenza nell’esecuzione dei compiti assegnati, fattispecie nelle quali potrebbe ricadersi l’ipotesi de qua.
(4) Il Garante della Privacy con provvedimento n. 157 del 30/07/2019 ha approvato un apposito modello editabile online con le informazione pertinenti e non eccedenti e ha ridefinito i termini procedurali, riconducendoli a quelli previsti dal GDPR.
(5) La mancata corretta documentazione di una violazione può comportare l’esercizio da parte dell’autorità di controllo dei suoi poteri ai sensi dell’art. 58 GDPR e l’imposizione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83.
(6) Ai fini della notifica della violazione all’autorità di controllo, l’articolo 33, paragrafo 3, lettera b), impone al titolare del trattamento di fornire il nome e i dati di contatto del responsabile della protezione dei dati o di un altro punto di contatto.
(7) Il regolamento non fissa un termine esplicito entro il quale il responsabile del trattamento deve avvertire il titolare del trattamento, salvo specificare che deve farlo “senza ingiustificato ritardo”. Il Gruppo di lavoro raccomanda al responsabile del trattamento di effettuare la notifica al titolare del trattamento tempestivamente, fornendo successivamente le eventuali ulteriori informazioni sulla violazione di cui venga a conoscenza.
(8) Il c.d. Gruppo Art. 29 è stato istituito ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 199.5
(9) Art. 83, paragrafo 4, lettera a), del regolamento.
(10) Il nuovo modello di notifica è stato approvato con provvedimento del Garante sulla notifica delle violazioni dei dati personali (data breach) – 30 luglio 2019. La notifica deve essere sottoscritta digitalmente o con firma autografa ed inviata al Garante tramite PEC all’indirizzo protocollo@pec.gpdp.it (va allegata copia del documento d’identità del firmatario nel caso di firma autografa). L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
(11) A quest’ultimo riguardo potrebbe rilevare la dimensione dell’Ente (ad es. nel caso di data breach dei dati dell’ufficio personale), oppure le dimensioni del Comune (si pensi all’accesso indebito ai dati di un ufficio anagrafe).