Cosa deve fare un’azienda che ha subito un Data Breach secondo il nuovo General Data Protection Regulation (GDPR)? Come lo deve fare ed entro quanto tempo? Quali responsabilità assume e quali sanzioni rischia altrimenti?
La Redazione di Guru ci ha recentemente raccontato, tra le parole del giorno, del c.d. Data Breach. Da qui la curiosità di sapere qualcosa di più, anche da un punto di vista giuridico, su cosa deve fare un’azienda che è stata vittima di una violazione informatica e su quali sono le sue responsabilità alla luce del Regolamento Europeo 2016/679 (che entrerà in vigore tra qualche mese e in vista del quale occorre prepararsi).
La sicurezza del trattamento dei dati personali – ossia di “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato)” (art.4, par.1, n.1) - è considerato dal Regolamento Europeo un obbligo primario in capo al soggetto che tratta tale tipo di dati, nell’ottica del principio di “accountability” (ovvero responsabilizzazione) del titolare del trattamento di dati personali. L’art.32, infatti, prevede che il titolare e il responsabile del trattamento debbano mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. La norma precisa che, nel valutare questo livello di sicurezza adeguato, si deve tenere conto dei rischi derivanti dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali.
Ma che cosa è allora il Data Breach secondo il Regolamento? L’art.4, par.1, n.12 definisce la “violazione dei dati personali” come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.
Cosa occorrerà fare nel caso di violazione dei propri sistemi informatici?
Sussiste un nuovo obbligo, non previsto dalla precedente Direttiva europea sulla privacy 95/46, di notificazione del data breach.
Chi è il soggetto tenuto alla comunicazione, chi deve esserne il destinatario e come deve essere fatta?
Le norme prevedono che l’obbligo di notifica ricada sul titolare del trattamento, ossia “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art.4,par.1, n.7 GDPR).
Il Regolamento, per gli altri profili, distingue due ipotesi: Vediamone meglio i presupposti e come attivarsi.
Il primo caso è disciplinato dall’art.33 GDPR, che impone di notificare la violazione dei dati personali all'Autorità di controllo nazionale competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Nel caso in cui non venga effettuata la notifica entro 72 ore, è ancora possibile farla, ma deve essere corredata dai motivi del ritardo.
La norma prevede anche il contenuto minimo che la comunicazione all’Autorità Garante dovrà avere:
“a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.”.
Il successivo art.34 GDPR prevede, poi, un secondo caso di obbligo di notificazione del data breach, questa volta anche al singolo interessato, “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. La norma prevede che la comunicazione venga effettuata al diretto interessato senza ingiustificato ritardo e debba descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contenere almeno le informazioni di cui alle lettere b), c) e d) del su citato art.33. Invero, la norma prevede, in un’ottica di contemperamento degli interessi dei soggetti coinvolti, che il titolare possa essere esentato dalla comunicazione al singolo interessato se ricorre una delle seguenti condizioni:
- ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione (es. cifratura);
- ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- la comunicazione richiederebbe sforzi sproporzionati (in tal caso può effettuare una comunicazione unica pubblica).
Quali sanzioni nel caso di violazione dell’obbligo di comunicazione?
La violazione degli obblighi di notificazione del data breach è tra quelli pesantemente sanzionati dal Regolamento: vi è il rischio di sanzioni amministrative pecuniarie fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (art.83, par.4 GDPR).
A ciò si aggiunga che, in via generale, l’art.82 GDPR prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal soggetto al quale l’obbligo (violato) era imposto (salvo che quest’ultimo dimostri che l’evento dannoso non gli è imputabile).
In conclusione, gli adempimenti conseguenti ad un data breach non risultano essere per niente semplici e di facile attuazione e le sanzioni potrebbero essere gravi. Meglio, quindi, sicuramente operare in via preventiva, migliorando il più possibile le proprie misure di sicurezza informatica: dunque, come sempre, prevenire è meglio che curare.