Il GDPR rende obbligatoria per tutti i Titolari del trattamento la notifica all’Autorità di controllo in caso di violazione dei dati personali. Ma questo obbligo viene meno in alcuni casi specifici. Vediamo quali sono.
Innanzitutto premettiamo che una violazione comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati e può compromettere l’integrità e la riservatezza di questi.
La notifica del Data Breach all’Autorità di controllo: quali violazioni vanno notificate e quali no?
Il titolare del trattamento, senza ingiustificato ritardo e ove sia possibile, entro le 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione avvenuta direttamente all’Autorità del Garante.
Si ricorda inoltre che il titolare del trattamento, a prescindere dalla notifica al Garante, è tenuto a documentare tutte le violazioni dei dati personali predisponendo un apposito e adeguato registro. Tale documentazione è molto utile e soprattutto richiesta dall’Autorità per effettuare eventuali verifiche sulla tenuta degli adempimenti.
La notifica della violazione può venire meno quando si ritiene improbabile che la violazione dei dati personali trattati possa comportare un rischio per i diritti e le libertà delle persone fisiche.
Vanno quindi notificate solamente le violazioni di dati che possono avere effetti significativi sugli individui interessati, causando danni o disagi fisici, materiali o immateriali.
Ad esempio, la perdita di un dispositivo mobile cifrato utilizzato esclusivamente dal titolare e dal personale non rappresenta un rischio: se la chiave di cifratura rimane in possesso del titolare e non si tratta dell’unica copia dei dati personali, questi ultimi sarebbero inaccessibili a qualsiasi pirata informatico.
Facendo riferimento sempre allo stesso esempio, però, nel momento in cui la chiave di cifratura è stata compromessa, il rischio per i diritti e le libertà delle persone fisiche si materializza e quindi è obbligatorio inviare la notifica di Data Breach all’Autorità di controllo.
Contenuto e modalità di invio della notifica all’Autorità di controllo
La notifica della violazione al Garante deve contenere tutte le informazioni previste all’art. 33, par. 3 del GDPR, quali:
- la natura della violazione dei dati, comprese le categorie e il numero approssimativo di interessati e le categorie dei dati personali trattati;
- i dati anagrafici e i contatti del Responsabile della protezione dei dati;
- la descrizione delle probabili conseguenze della violazione dei dati personali;
- la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione e per attenuarne eventuali effetti negativi.
La notifica deve essere inviata al Garante tramite posta elettronica certificata o elettronica, deve essere sottoscritta digitalmente o con firma autografa e deve essere presentata unitamente alla copia del documento di riconoscimento del firmatario.
Il modulo di notifica può essere prodotto dal gestionale che si utilizza per adempiere agli obblighi previsti dal Regolamento Europeo, oppure può essere reperito sul sito del Garante.
La comunicazione del Data Breach all’interessato
Il GDPR richiede al titolare del trattamento di comunicare la violazione dei dati personali trattati all’interessato solamente quando si presenta un elevato rischio per i diritti e le libertà delle persone fisiche. Tale comunicazione deve essere effettuata senza ingiustificato ritardo, descrivendo inoltre con un linguaggio semplice e chiaro la violazione con tutte le informazioni precedentemente citate e disciplinate dall’art. 33, par.3 del GDPR.
Questa comunicazione serve agli interessati per acquisire le informazioni necessarie ad adottare contromisure idonee a contenere i danni della violazione.
Come disciplinato dall’art. 34, però, non sempre la comunicazione all’interessato è richiesta, come ad esempio quando:
- le misure tecniche ed organizzative messe in atto dal titolare del trattamento sono adeguate a rendere incomprensibile la lettura dei dati ai non autorizzati (come la cifratura);
- le misure di sicurezza adottate dopo la violazione hanno scongiurato il rischio elevato;
- la comunicazione all’interessato richiede uno sforzo sproporzionato. In tal caso si procede a una comunicazione pubblica tramite la quale si può comunque informare gli interessati in modo efficace.
I criteri di valutazione del rischio elevato
L’obbligatorietà della notifica all’Autorità di controllo e ai soggetti interessati è strettamente collegata al concetto di rischio elevato.
Ma cosa significa rischio elevato? Quali sono i criteri di valutazione che indicano quando un rischio è elevato o meno?
La valutazione del rischio derivante da una violazione va sicuramente analizzata per ogni singolo caso, ma di fondamentale importanza è considerare la probabilità che la violazione avvenga e la gravità delle sue conseguenze.
Sicuramente è da privilegiare la prudenza e quindi, in caso di dubbio, in ottica scrupolosa si può suggerire di effettuare la notifica.
Tra i criteri che si possono tenere in considerazione ai fini dell’identificazione e della valutazione del rischio rientra:
- il tipo di violazione;
- la natura e sensibilità dei dati personali (più i dati sono sensibili, maggiore è il rischio di causare danni agli interessati);
- la facilità di identificazione delle persone fisiche;
- la gravità delle possibili conseguenze per le persone fisiche;
- la natura e il ruolo del titolare del trattamento e delle sue attività (queste possono influire sul livello di rischio per le persone fisiche in seguito a una violazione);
- il numero di persone fisiche interessate (maggiore è il numero di persone fisiche interessate, maggiore è l’impatto che una violazione può avere).
Team Privacy CGN