Si delineano nuovi adempimenti in materia di sicurezza dei sistemi e dei dati a carico delle pubbliche amministrazioni e delle imprese con il regolamento europeo in materia di protezione dei dati personali (regolamento 2016/679, approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 ).
L'articolo continua dopo la pubblicità
Ti potrebbe interessare l'ebook "La tutela della Privacy sul web (E-Book 2015)" che analizza vari aspetti della tutela dei dati personali sul web:
- Normativa comunitaria ed extracomunitaria
- Comunicazioni elettroniche
- Internet e reti telematiche
- E-mail e Internet nel rapporto di lavoro
- Trattamento di dati personali
- Tutela dell’interessato e sanzioni
1) Comunicazione delle violazioni di dati personali nel regolamento Ue 679/2016
Il regolamento europeo 2016/679 introduce, per quanto attiene al capitolo relativo alla “sicurezza dei sistemi e dei dati nelle pubbliche amministrazioni” l’obbligo di comunicazione delle violazioni di dati personali, a tutti i trattamenti di dati personali effettuati dalle pubbliche amministrazioni e imprese, obbligo previsto attualmente in alcuni ordinamenti.
In Italia l’obbligo di comunicazione delle violazioni di dati personali era già disciplinato, in prima battuta, attraverso l’art. 32-bis del Codice in materia di protezione dei dati personali (introdotto dall’art. 1, c. 3, d.lgs. 28.5.2012, n. 69) e riguardava i fornitori di servizi di comunicazione elettronica accessibili al pubblico.
Successivamente detto obbligo è stato esteso ai seguenti settori: dati biometrici, sanitario, con obbligo di comunicare all’Autorità entro 24 ore dalla rilevazione il verificarsi di violazioni dei dati o incidenti informatici che, pur non incidendo direttamente sui dati stessi, possano comunque esporli a rischio di violazione.
Attraverso il Provvedimento n. 331 del 4 giugno 2015, l’obbligo di comunicare al Garante, entro le 48 ore dalla conoscenza del fatto, le violazioni che hanno investito il trattamento dei dati personali, così come gli incidenti informatici, è stato esteso anche alla Pubblica Amministrazione.
Per “violazione dei dati personali” si intende secondo il regolamento europeo: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.
Il regolamento distingue due modalità di data breach:
- la comunicazione delle violazioni di dati all’autorità nazionale di protezione dei dati personali (prevista dall’art. 33 del regolamento);
- la comunicazione ai soggetti a cui si riferiscono i dati, nei casi più gravi (c.d. soggetti “interessati), prevista dall’art. 34 del regolamento.
Il regolamento europeo specifica, in buona sostanza, i seguenti aspetti:
- quale soggetto è tenuto a notificare,
- entro quanto tempo,
- le modalità ed il contenuto della notificazione della violazione dei dati personali “data breach”,
- le eventuali responsabilità e sanzioni nel caso di violazione degli obblighi in materia.
La notifica delle violazioni dei dati personali ricade sul titolare del trattamento (Il titolare del trattamento è definito all’art.4, primo paragrafo, punto 7 «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri) e deve essere comunicata all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Il termine di 72 ore costituisce un periodo molto breve in considerazione della complessità organizzativa delle pubbliche amministrazioni, delle imprese e dei relativi trattamenti di dati effettuati.
Il Titolare del trattamento deve essere informato della violazione dei dati dal Responsabile del trattamento senza ritardo dopo esserne venuto a conoscenza.
Solitamente accade che le pubbliche amministrazioni, ma il ragionamento può essere replicato anche per le imprese, non si accorgono degli attacchi o violazioni di dati subite e vengono a saperle da fonti terze (giornali, utenti, stakeholder, ecc.).
Comprendere e documentare che la violazione di dati verificatesi non presenta un rischio per i diritti e le libertà, non è un compito facile; occorre, che il titolare del trattamento si faccia carico dell’obbligo di rendere conto delle proprie decisioni (accountability), informando e sensibilizzando tutti gli attori interni ed esterni alla organizzazione.
Nel caso in cui la notifica all'autorità di controllo non sia effettuata entro le previste 72 ore, il titolare può comunque inviarla anche successivamente a tale termine ma è tenuto ad allegare anche un documento in cui illustri i motivi del ritardo.
La previsione di obbligo di data breach comporta che il titolare del trattamento è tenuto a verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c'è stata violazione dei dati personali e informare tempestivamente l'autorità di controllo e l'interessato.
Nella comunicazione devono essere riportate le seguenti informazioni:
- il riferimento e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- la descrizione delle probabili conseguenze della violazione dei dati personali.
Nella comunicazione è necessario descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Il regolamento prevede tuttavia che, qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
La comunicazione deve essere redatta con cura e attenzione in quanto può dar luogo a un intervento dell'autorità di controllo nell'ambito dei suoi compiti e poteri previsti dal regolamento.
Il titolare del trattamento deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
La sopra citata documentazione deve essere conservata con la massima cura e diligenza in quanto può essere richiesta dall’Autorità Garante al fine di verificare il rispetto delle disposizioni del regolamento europeo in materia di protezione dei dati personali.
Il regolamento europeo prevede anche la comunicazione della violazione dei dati personali “data breach” verso il soggetto interessato (cittadino, utente), comunicazione che è richiesta, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il legislatore comunitario, a tale proposito, ritiene che se l’interessato (cittadino o utente) è avvertito della violazione può prendere le precauzioni necessarie in materia. La sopra citata comunicazione deve essere effettuata dal titolare senza ingiustificato ritardo.
Il regolamento richiede che la comunicazione all'interessato (cittadino) deve essere effettuata, senza ingiustificato ritardo, con un linguaggio semplice e chiaro al fine di fare comprendere allo stesso la natura della violazione dei dati personali verificatesi.
Il regolamento specifica il contenuto minimo (le informazioni e le misure) con un richiamo al sopra citato art. 33, paragrafo 3, lettere b), c) e d) del regolamento che ricomprende:
- la comunicazione dei riferimenti e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni (lett.b);
- la descrizione delle probabili conseguenze della violazione dei dati personali (lett.c);
- la descrizione delle misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi (lett.d).
Il regolamento europeo, nell’ottica di venire incontro alle esigenze delle pubbliche amministrazioni e delle aziende ed evitare un enorme danno reputazionale, specifica che non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Il regolamento europeo per la protezione dei dati richiede che nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle sopra citate condizioni (previste dal paragrafo 3) è soddisfatta.
Nel caso in cui le organizzazioni non rispettino gli obblighi previsti dal regolamento in materia di data breach si espongono al rischio di sanzioni pecuniarie fino a 10.000.000 euro o per le imprese fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
La data breach mette al centro dell’organizzazione la valutazione del rischio; occorre infatti, valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio; occorre valutare anche il rischio per i cittadini e gli utenti e verificare se è elevato (ad esempio quando si tratti di frode, furto di identità, danno all’immagine etc.).
Di conseguenza, “lavorare” sulla data breach significa – oltre ad adempiere ad una prescrizione normativa – “fasare” la PA e le imprese anche alla luce del paradigma rappresentato dal principio della trasparenza e accountability.
Ti potrebbero interessare:
- I ricorsi al Garante della privacy - libro di carta
- Responsabilità Civile Illecito Trattamento dati - libro di carta
- La Privacy negli studi professionali (eBook 2022).
- Formulario commentato della privacy - Libro di carta
- Manuale operativo del D.P.O.
- Tutela della Privacy - (Pacchetto 2 eBook)
- Il condominio e la privacy
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
