Data Breach, i profili operativi con il GDPR nella circolare Federprivacy 2-2018
Dal 25 maggio 2018, in virtù del disposto degli articoli 33 e 34 del Regolamento UE 2016/679, imprese, enti pubblici e professionisti devono notificare al Garante le violazioni della sicurezza - informatica e non - da cui possano derivare danni per le persone fisiche cui si riferiscono i dati. La Circolare 2/2018 di Federprivacy propone soluzioni ad alcuni casi pratici.
In particolare si segnala la clausola contrattuale con il fornitore esterno che funge da responsabile del trattamento (tipico in caso di outsourcing), al quale l’adempimento potrà anche essere delegato, ma a precise condizioni.
La circolare offre una ampia casistica desunta dalle Linee Guida del Garanti Europei della Privacy (WP Art. 29). Di seguito alcuni degli aspetti salienti:
SOGGETTI OBBLIGATI - Quanto ai soggetti tenuti si registra una estensione a tutti i titolari di trattamento, senza esclusioni aprioristiche o inclusioni riservate a specifiche per categorie (di trattamento o di dati personali). Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre "senza ingiustificato ritardo".
NOZIONE DI DATA BREACH - Mentre tutte le violazioni dei dati sono violazioni di sicurezza, non tutte le violazioni di sicurezza sono necessariamente violazione dei dati. Ai fini della disciplina del “data breach” rilevano le violazioni di sicurezza da che esitano in violazione dei dati (disvelamento o accesso indebito o accidentale ai dati; indebito o accidentale impedimento all’accesso di dati o distruzione di dati; indebita o accidentale alterazione dei dati).
TERMINI - L’obbligo di notificazione all’autorità di controllo deve essere adempiuto entro 72 ore. Nei casi in cui il trattamento sia effettuato da un responsabile del trattamento (RdT) è rilevante il momento in cui diventa consapevole della violazione il titolare del trattamento. È opportuno, comunque, che la materia sia oggetto di specifiche discipline contrattuali nell’accordo tra titolare e responsabile, prevedendo termini ridottissimi per il flusso di informazioni da responsabile a titolare quanto a verificarsi del data breach.
ARRICCHIMENTO DELLA NOTIZIA - La piena consapevolezza dell’intervenuta violazione della sicurezza con conseguente violazione dei dati potrebbe raggiungersi solo a seguito di idonea istruttoria. Il GDPR ammette solo uno short period of investigation, condotta, magari, da un’unità aziendale di crisi, all’esito del quale passare a una scelta in un senso o nell’altro.
NOTIFICA DA PARTE DEL RESPONSABILE DEL TRATTAMENTO - Per contratto, infatti, il RdT potrebbe essere investito del compito di effettuare, in nome e per conto del TdT, la notificazione suddetta. Tale delega contrattuale ha valore tra le parti, ma non comporta mai una deresponsabilizzazione del Titolare del trattamento.
REGISTRO DELLE VIOLAZIONI - Il Regolamento 2016/679 non fa un richiamo testuale, ma è opportuno che il TdT si doti di un registro delle violazioni, nel quale annotare le violazioni della sicurezza.
COMUNICAZIONI AGLI NTERESSATI - Per le Comunicazioni agli interessati si possono usare posta elettronica, sms, messaggi diretti, banner, Comunicazioni postali, annunci sulla stampa.
La versione integrale della presente circolare e di quelle precedenti sono riservate ai soci membri e aderenti sostenitori di Federprivacy, ed sono scaricabili informato digitale previo login dall'area riservata nella sezione "Circolari".