Notifica Data Breach. Senza stabilimento UE non scatta lo sportello unico

La novità delle Linee Guida 9/2022 dell’EDPB adottate il 28 marzo 2023 si concentra sul caso del titolare del trattamento che non abbia uno stabilimento nell’UE. In caso di data breach non scatta il meccanismo dello sportello unico e si dovrà notificare a ogni singola Autorità di Controllo di ciascuno Stato Membro via via che si viene a conoscenza dell’impatto territoriale della violazione. Senza dubbio una strada in salita per le imprese extra UE che nominano semplicemente un rappresentante senza stabilirsi nell’Unione.

Linee guida sulla notifica e sugli esempi dei Data Breach Un po' di storia. L'EDPB il 28 marzo 2023 ha pubblicato le “Linee guida 9/2022 sulla notifica dei Data Breach” in aggiornamento delle “Linee Guida WP250” adottate il 3 ottobre 2017 dal gruppo di lavoro “Articolo 29” sulla notifica delle violazioni dei dati e poi approvate dall'EDPB il 25 maggio 2018. Questo aggiornamento si è reso necessario per introdurre le esperienze delle Autorità di Controllo UE maturate durante il tempo trascorso fino ad oggi in merito all'applicazione del GDPR 2016/679 e per introdurre la vera novità riguardante le imprese extra UE senza stabilimento nell'Unione. L'EDPB ha adottato in materia il 14 dicembre 2021 anche un altro testo ovvero le “Linee-guida 01/2021 su Esempi di Data Breach”. Ricapitolando, attualmente sono in vigore due testi complementari sui Data Breach le attuali “Linee guida 9/2022 sulla notifica dei Data Breach” in aggiornamento delle “Linee Guida WP250” e le “Linee-guida 01/2021 su Esempi di Data Breach”. La novità delle Linee guida 9/2022 plurima notifica dei Data Breach senza stabilimento UE La novità saliente rispetto alle “Linee guida WP250” attiene al caso dell'impresa extra UE che non abbia determinato uno stabilimento nell'Unione ed abbia semplicemente nominato un rappresentante. Tale ipotesi viene trattata dai punti 70,71,72,73-74 inerenti al tema “Violazioni presso stabilimento extra UE”. Il tipo di impresa appena descritto resta soggetto alla disciplina dell'EDPB ove si occupi di offerta di beni o prestazione di servizi indipendentemente dall'obbligatorietà del pagamento dell'interessato oppure ove si occupi del monitoraggio del comportamento degli interessati. In caso di data breach, tale impresa non può rivolgersi all'Autorità Capofila perché non scatta il meccanismo dello sportello unico in assenza di uno stabilimento e quindi sarà costretta a notificare l'evento lesivo ad ogni rispettivo Garante Privacy di ciascuno Stato membro in cui si abbia conoscenza dell'impatto ipoteticamente pregiudizievole della violazione. Si tratta di una disciplina poco clemente con le società non stabilite. Infatti, dovranno organizzarsi per accertare velocemente in quale Stato si trovino gli interessati colti dal data breach e conseguentemente attivare la procedura interna sulla valutazione in merito alla notifica o meno al Garante. Inoltre, potrebbe darsi che mentre si valuta l'impatto sul primo territorio, giunga notizia che ne sia stato colpito un secondo e poi un terzo e poi un quarto. Dunque, si palesa l'aggravio e la difficoltà di plurime procedure interne di valutazione e di molte procedure esterne da seguire una volta inoltrata la notifica. L'unico aiuto in una situazione siffatta giunge dal punto 34 delle Linee Guida 9/2022 in cui si stabilisce che il termine di 72 ore per la notifica decorre a partire dal momento in cui sia stata accertata la conoscenza del data breach. Questo significa che il titolare del trattamento dispone di un'ulteriore fascia temporale tra la prima notizia sul fumus di data breach e l'acclaramento dello stesso fascia temporale importantissima seppur breve perché consente di svolgere un'indagine. Il momento dell'avvenuta conoscenza del Data Breach Il momento dell'avvenuta conoscenza del data breach non coincide con la ricezione della prima allerta. Si ha conoscenza dell'evento ipoteticamente lesivo solo dopo aver acquisito un livello minimo di certezza del relativo accadimento. Certezza assunta grazie a una breve fase di indagini. Il punto 34 delle Linee guida 9/2022 stabilisce che «dopo essere stato informato per la prima volta di una potenziale violazione da parte di un individuo, di un'organizzazione dei media o di un'altra fonte, o quando ha esso stesso rilevato un incidente di sicurezza, il titolare del trattamento può intraprendere un breve periodo di indagine al fine di stabilire se si sia verificata o meno una violazione. Durante questo periodo di indagine, il titolare del trattamento non può essere considerato a conoscenza . Tuttavia, si prevede che l'indagine iniziale dovrebbe iniziare il prima possibile e stabilire con un ragionevole grado di certezza se si sia verificata una violazione può quindi seguire un'indagine più dettagliata». L'EDPB precisa un aspetto molto importante ai fini di una procedura interna di valutazione della rilevanza o meno del data breach ai fini della notifica al Garante Privacy ovvero l'esistenza di un periodo per eseguire delle indagini. Ovviamente dal momento dell'allerta al momento della decisione sull'effettività del data breach non deve trascorrere troppo tempo. Tuttavia, questo consente di conferire maggiore fattibilità alla procedura interna, difficilmente realizzabile nel termine perentorio delle 72 ore. La predisposizione di misure tecniche ed organizzative dedicate a questa prima delibazione sul fumus del data breach viene valutata dal Garante Privacy ai fini del giudizio sul livello di accountability del titolare del trattamento. L'unità di crisi permanente sui Data Breach Le Linee guida 9/2022 suggeriscono chiaramente l'allestimento permanente di un'unità di crisi interna per la prima delibazione sul fumus dell'esistenza o meno del data breach. Solo la disponibilità di siffatta struttura può permettere al titolare del trattamento di assumere in tempi brevi una decisione sull'effettivo verificarsi del data breach momento dell'avvenuta conoscenza e quindi dare poi adito all'ulteriore valutazione in merito agli effetti dell'evento lesivo da compiere entro le 72 ore. Pertanto, se si ravvisi il rischio di lesione dei diritti e delle libertà degli interessati si procederà alla notifica all'Authority e ove si ravvisi un elevato rischio di lesione degli interessati si provvederà alla comunicazione agli stessi. Se invece nessun rischio parrà ipotizzarsi, il titolare eviterà la notifica ma provvederà comunque ad annotare la violazione nel Registro dei Data Breach. L'EDPB traccia le sembianze dell'unità di crisi permanente data breach al punto 39 «Sebbene sia responsabilità dei titolari e dei responsabili del trattamento mettere in atto misure adeguate per poter prevenire, reagire e affrontare una violazione, ci sono alcune misure pratiche che dovrebbero essere prese in tutti i casi. Le informazioni relative a tutti gli eventi relativi alla sicurezza dovrebbero essere indirizzate a una o più persone responsabili con il compito di affrontare gli incidenti, stabilire l'esistenza di una violazione e valutare il rischio. Il rischio per le persone a seguito di una violazione dovrebbe quindi essere valutato probabilità di nessun rischio, rischio o rischio elevato , informando le sezioni pertinenti dell'organizzazione. Notifica all'autorità di controllo ed eventuale comunicazione della violazione alle persone interessate dovrebbero essere effettuate, se necessario.  Allo stesso tempo, il titolare del trattamento dovrebbe agire per contenere e recuperare la violazione. La redazione della documentazione sulla violazione dovrebbe avvenire man mano che si sviluppa».   Questa unità di crisi dev'essere supportata da appositi meccanismi di segnalazione che forniscano l'input per l'avvio della procedura di prima delibazione del fumus data breach. Il punto 37 delle Linee Guida dispone che «il titolare del trattamento dovrebbe disporre di processi interni per essere in grado di rilevare e affrontare una violazione. Ad esempio, per rilevare alcune irregolarità nel trattamento dei dati, il titolare o il responsabile del trattamento possono utilizzare determinate misure tecniche come il flusso di dati e gli analizzatori di log, dai quali è possibile definire eventi e avvisi correlando eventuali dati di log. È importante che, quando viene rilevata una violazione, questa venga segnalata al livello dirigenziale appropriato in modo che possa essere affrontata […] Tali misure e meccanismi di segnalazione potrebbero essere dettagliati nei piani di risposta agli incidenti e/o negli accordi di governance del titolare del trattamento. Questi aiuteranno il titolare a pianificare in modo efficace e determinare chi ha la responsabilità operativa all'interno dell'organizzazione per la gestione di una violazione e come o se velocizzare la valutazione di un incidente a seconda dei casi».