Data breach: nuovo modello di comunicazione al Garante privacy delle violazioni di dati

Il Garante per la protezione dei dati personali adotta in un’ottica di semplificazione uno specifico provvedimento sulla notifica delle violazioni dati al fine di accompagnare le imprese, banche e pubbliche amministrazioni negli adempimenti privacy.

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi degli interessati cui si riferiscono i dati. Il Garante per la protezione dei dati personali approfondisce, alla luce della normativa europea, la tematica della notifica delle violazioni di dati e adotta in data 30 luglio 2019 un prezioso provvedimento che semplifica i relativi adempimenti in materia. Per violazione dei dati personali” il regolamento privacy europeo 679 del 2016 intende la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati articolo 4, punto 12 del Regolamento articolo 2, comma 1, lett. m, del d.lgs. n. 51/2018 . Occorre sottolineare che devono essere notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale. Il regolamento privacy europeo 679 del 2016 prevede all’articolo 33 che il titolare del trattamento soggetto pubblico, impresa, associazione, partito, professionista, ecc. deve notificare al Garante per la protezione dei dati personali la violazione senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di pesanti sanzioni amministrative. Il provvedimento. Il provvedimento in esame è di interesse in quanto in un’ottica di semplificazione del corretto adempimento degli obblighi amministrativi posti in capo al titolare del trattamento indica, attraverso uno specifico modello allegato al provvedimento, quali informazioni comunicare al Garante. Il provvedimento in esame ricostruisce il quadro regolatorio precedente il regolamento privacy europeo in materia di comunicazioni di violazioni di dati per settori specifici per determinate tipologie di trattamento o categorie di titolari del trattamento ed in particolare l’ambito bancario, l’ambito delle telecomunicazioni, l’ambito sanitario dossier sanitario all’ambito dell’interscambio di dati fra le pubbliche amministrazioni dall’utilizzo dei dati biometrici. Il Garante in particolare ha adottato nel corso degli anni - un provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 v. punto 1, in www.gpdp.it, doc. web n. 4129029 - le linee guida in materia di Dossier sanitario del 4 giugno 2015 v. punto 2, doc. web n. 4084632 -un provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 v. punto 2, doc. web n. 3556992 - un provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013 doc. web n. 2388260 - un provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011 v. punto 5.2, doc. web n. 1813953 . Il sopra citato quadro regolatorio era eterogeneo sia sotto il profilo delle modalità che delle tempistiche in quanto erano previsti molteplici e diversi termini temporali, contenuto e modalità della comunicazione delle violazioni di dati personali. Il sopra citato Provvedimento n. 513 del 12 novembre 2014 prevede, ad esempio, che entro 24 ore dalla conoscenza del fatto, i titolari del trattamento aziende, amministrazioni pubbliche, ecc. devono comunicare al Garante tutte le violazioni dei dati degli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi. Il Provvedimento n. 331 del 4 giugno 2015 prevede che entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario. Il Garante con il provvedimento del 30 luglio 2019 chiarisce alla luce dell’articolo 33 del Regolamento privacy europeo, che le diverse informazioni da comunicare al Garante come previste nei provvedimenti e nelle linee guida sopracitati devono intendersi eliminate e sostituite da quelle indicate nel paragrafo 3 dell’articolo 33 del regolamento e dal provvedimento in esame. Si tratta di un importante chiarimento che semplifica notevolmente l’adempimento per le imprese e le pubbliche amministrazioni in un’ottica di standardizzazione i precedenti termini temporali e modalità di comunicazioni sono sostituite ad esempio pensiamo nell’ambito del dossier sanitario le aziende sanitarie non dovranno più effettuare la notifica entro il termine ristretto di 48 ore ma, ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza della violazione dei dati personali. Il Garante specifica che le comunicazioni dovranno essere effettuate con le modalità indicate dall’ articolo 65 del Codice di Amministrazione Digitale Cad rubricato Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica” mediante i sistemi telematici indicati nel sito istituzionale del Garante. Il Garante nel modello richiama l’attenzione sul fatto che la notifica non deve includere i dati personali oggetto di violazione in via esemplificativa il Garante specifica di non fornire i nomi dei soggetti interessati dalla violazione . Rispetto ai precedenti modelli il Garante approfondisce il profilo della tipologie di notifiche notifica preliminare, completa, integrativa. La notifica preliminare si verifica quando il titolare attiva il processo di notifica pur in assenza di un quadro completo della violazione con riserva di effettuare una successiva notifica integrativa. Si tratta di una situazione molto frequente sia nelle imprese sia nelle pa, in quanto non è sempre facile disporre di tutti gli elementi richiesti dall’articolo 33 del regolamento privacy europeo. Nella notifica preliminare è obbligatoria la compilazioni delle sezioni A relativa ai dati del soggetto che effettua la notifica, la sezione B ad oggetto il Titolare del trattamento”, la sezione B1 ad oggetto I dati di contatto per informazioni relative alla violazione” la sezione C ad oggetto Informazioni di sintesi sulla violazione”. La notifica integrativa consente, pertanto, al titolare del trattamento di integrare una precedente notifica occorrerà pertanto inserire il numero di fascicolo assegnato alla precedente notifica, se noto . Il modulo. Il modulo ha otto sezioni la sezione A relativa ai dati del soggetto che effettua la notifica, la sezione B relativa al Titolare del trattamento, la sezione C sulle Informazioni di sintesi sulla violazione la sezione D ad oggetto le Informazioni di dettaglio sulla violazione la sezione E ad oggetto le possibili conseguenze e gravità della violazione la sezione F relativa alla misure adottate a seguito della violazione la sezione G ad oggetto la comunicazione agli interessati la sezione H relativa ad altre informazioni. Il nuovo modello di comunicazione delle violazioni approfondisce anche il profilo dei dati di contatto per informazioni relative alla violazione occorre, infatti, indicare il responsabile della protezione dei dati personali RPD o altro soggetto nel caso di assenza del RPD e il caso di ulteriori soggetti coinvolti nel trattamento ad esempio contitolari o responsabili esterni, rappresentanti del titolare non stabilito nell’UE . Nel caso in cui sia stato designato il RPD, occorre indicare il numero di protocollo assegnato alla comunicazione relativa ai dati di contatto del RPD che è stato trasmesso al termine della relativa procedura telematica on line riportata sul sito istituzionale dell’autorità Garante per la protezione dei dati personali. Nel caso di presenza di ulteriori soggetti coinvolti nel trattamento di dati ipotesi molto frequente alla luce della complessità dei trattamenti e degli strumenti tecnologici es. fornitori informatici, software house , il Garante richiede di specificare la denominazione, il Codice fiscale/PIVA e indicare il ruolo svolto sotto il profilo della protezione dei dati contitolare, responsabile, rappresentante . Nella sezione C relativa alle informazioni di sintesi sulla violazione, il Garante richiede di specificare quando è avvenuta la violazione con indicazione del giorno, se la violazione è ancora in corso, e se si sia verificata in un tempo non ancora determinato . Il Garante richiede di indicare il momento in cui il titolare del trattamento è venuto a conoscenza della violazione e prevede il caso in cui il titolare del trattamento sia stato informato dal responsabile del trattamento o da altri soggetti in via esemplificativa segnalazioni da parte di un interessato, comunicazione da parte di terzi . Nel caso di notifica tardiva che è stata effettuata oltre le 72 ore dal momento in cui si è venuto a conoscenza della violazione, occorre specificare quali siano i motivi del ritardo. Il Garante richiede di descrivere brevemente la violazione ed in particolare di specificare la natura della violazione perdita della confidenzialità, integrità, disponibilità. Il Garante richiede inoltre attraverso le caselle di spunta di indicare la causa della violazione azione intenzionale o accidentale, interna o esterna, sconosciuta o altro da specificare le categorie di dati personali oggetto di violazione dati anagrafici, dati di contatto, dati di accesso e di identificazione, dati di pagamento, dati relativi alla fornitura di un servizio di comunicazione elettronica, dati relativi a condanne penali e ai reati o a connesse misure di sicurezza o di prevenzione dati di profilazione dati relativi a documenti di identificazione/riconoscimento dati di localizzazione dati che rivelino l’origine razziale o etnica dati che rivelino convinzioni religiose o filosofiche dati che rivelino l’appartenenza sindacale, dati relativi alla vita sessuale o all’orientamento sessuale dati relativi alla salute dati genetici dati biometrici, categorie ancora non determinate nel caso di altre categorie altro , occorre specificare. Una delle novità più rilevanti del modulo è la richiesta del Garante di indicare il volume anche approssimativo dei dati personali oggetto di violazione un numero esatto, un numero ancora non definito si tratta di un aspetto dal forte impatto applicativo che presuppone un sistema di censimento dei sistemi e dei dati, il Garante riporta in nota alcuni esempi il numero di referti, il numero di record di un database, numero di transazioni registrate. Il Garante richiede inoltre di specificare con casella di spunta le categorie di interessati coinvolti nella violazione dipendenti/consulenti, utenti/contraenti/abbonati/clienti attuali o potenziali , associati, soci aderenti, simpatizzanti, sostenitori, soggetti che ricoprono cariche sociali, beneficiari o assistiti, pazienti, minori, persone vulnerabili es. vittime di violenze o abusi, rifugiati, richiedenti asilo , categorie ancora non determinate, altro specificare Il Garante richiede di dettagliare e descrivere in modo più approfondito le categorie degli interessati. Il Garante richiede di indicare il numero anche approssimativo di interessati coinvolti nella violazione o di specificare che si è in presenza di un numero ancora sconosciuto. Nella sezione D relativa alle informazioni di dettaglio sulla violazione, il Garante per la protezione dei dati personali richiede, ad integrazione di quanto richiesto in via sintetica nella sezione C, la descrizione dell’incidente di sicurezza alla base della violazione, la descrizione delle categorie di dati personali oggetto della violazione la descrizione dei sistemi e delle infrastrutture IT coinvolte nell’incidente, con indicazione della loro ubicazione. Il Garante richiede inoltre di specificare le misure di sicurezza tecniche e organizzative adottate per garantire la sicurezza dei dati, dei sistemi e delle infrastrutture IT coinvolti. Il Garante specifica che devono essere indicate le misure in essere al momento della violazione. Nella sezione E del modulo il Garante richiede di specificare quali siano le possibili conseguenze della violazione sugli interessati sotto i profili della perdita di confidenzialità, di perdita di integrità, perdita di disponibilità. La richiesta del Garante è coerente con le Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento UE 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati Personali del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018. La confidenzialità è connessa alla diffusione/accesso non autorizzato o accidentale ed il Garante in questo caso richiede di indicare con la casella di spunta se i dati sono stati divulgati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento i dati possono essere correlati, senza sforzo irragionevole, ad altre informazioni relative agli interessati, i dati possono essere utilizzati per finalità diverse da quelle previste oppure in modo non lecito. Il Garante prevede anche la casella Altro” e richiede in questo caso al titolare di indicare le relative specifiche. Nel caso di perdita di integrità connesse a modifica non autorizzata o accidentale, il Garante richiede di specificare se i dati siano stati modificati e resi inconsistenti, i dati siano stati modificati mantenendo la consistenza, o altro. Nel caso di perdita di disponibilità connessa all’impossibilità di accesso, perdita, distruzione non autorizzata o accidentale, il Garante richiede di indicare se si è in presenza di mancato accesso ai servizi, malfunzionamento e difficoltà nell’utilizzo dei servizi e di specificare le altre situazioni. Il Garante richiede di riportare ulteriori considerazioni sulle possibili conseguenze. Il Garante richiede di indicare con la specifica casella di spunta quali siano i potenziali effetti negativi per gli interessati perdita del controllo dei dati personali limitazione dei diritti, discriminazione, furto o usurpazione d’identità frodi, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale conoscenza da parte di terzi non autorizzati, qualsiasi altro danno economico o sociale significativo con richiesta di specificare . Il Garante richiede di indicare con casella di spunta la gravità della violazione trascurabile, basso, medio, alto. Nella sezione F, il Garante approfondisce le misure adottate a seguito della violazione e richiede di descrivere le misure adottate a seguito della violazione o di cui si propone l’adozione per porre rimedio alla violazione e ridurne gli effetti negativi per gli interessati. Il Garante richiede anche di indicare le misure tecniche e organizzative adottate o di cui si propone l’adozione anche per prevenire simili violazioni. Nella sezione G del modulo il Garante approfondisce il profilo della comunicazione agli interessati e richiede di indicare con casella di spunta se sia stata comunicata la violazione agli interessati? In caso negativo se sarà comunicata e in quale data No, sono tuttora in corso le dovute valutazioni Nei casi previsti dall’articolo 33 del regolamento privacy europeo in cui non sarà effettuata la comunicazione agli interessati il Garante richiede di spiegare le motivazioni e di descrivere le misure applicate e adottate. Il Garante richiede di indicare il numero degli interessati a cui è stata comunicata la violazione, e di riportare il contenuto della comunicazione agli interessati. Il Garante richiede anche di specificare il canale utilizzato per la comunicazione agli interessati sms, posta cartacea, posta elettronica, e nel caso di altro strumento di specificare quale. Nell’ultima sezione H ad oggetto Altre informazioni”, il Garante richiede di indicare se la violazione coinvolga interessati di altri paesi dello spazio economico europeo, se si indicare quali se violazione coinvolga interessati di paesi non appartenenti allo spazio economico europeo. Il Garante specifica nelle note che fanno parte dello Spazio Economico Europeo tutti gli Stati membri della Unione Europea, nonché l’Islanda, il Liechtenstein e la Norvegia. Il Garante richiede di indicare se la violazione sia stata notificata ad altre autorità privacy di controllo ex articolo 51 del regolamento privacy europeo nel caso ad esempio di DPO di gruppo . Il Garante richiede di specificare se la violazione sia stata o meno notificata ad altri organismi di vigilanza o di controllo in virtù di ulteriori disposizioni normative. Il Garante cita in via esemplificativa gli obblighi di comunicazioni previsti dal Regolamento UE 910/2014 eIDAS ectronic IDentification Authentication and Signature che ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri e gli obblighi di comunicazioni previsti dal d.lgs. 65/2018 attuativo della Direttiva UE 2016/1148 Network and Information Security” c.d. Direttiva Nis in materia di sicurezza delle reti e dei sistemi informativi. Il Garante richiede inoltre se la segnalazione sia stata effettuata anche all’autorità giudiziaria o di polizia. Il provvedimento in esame è importante anche perché ha la finalità di aumentare e promuovere la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi previsti a loro carico dal regolamento privacy europeo. Il modello allegato non approfondisce il profilo degli incidenti sulle immagini e sulle videoriprese e i trattamenti connessi a trattamenti senza strumenti elettronici si presume che in questi casi gli enti dovranno inserire la casella di spunta nella sezione ”altro” e descrivere contesto e specifiche della violazione. Il modello allegato come indicato dal Garante si applica anche alle notificazione di violazione di dati previste dall’articolo 51 del decreto legislativo 18 maggio 2018, n. 51, recante Attuazione della direttiva UE 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. L’adempimento della comunicazione delle violazioni di dati previsto dal Regolamento privacy europeo non deve essere sottovalutato occorre considerare che il Garante può prescrivere misure correttive v. articolo 58, paragrafo 2, del Regolamento UE 2016/679 nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

Modello_notifica_Data_Breach Provvedimento_Garante_Privacy