Obiettivo della gestione di una violazione dei dati personali, stando alla lettera e ai principi del GDPR, è consentire la più elevata tutela delle persone fisiche anche a fronte di un incidente di sicurezza che ne ha compromesso i dati personali. Ma un adempimento pedissequo degli obblighi normativi, in concreto, si rivela insufficiente.
La violazione dei dati personali e l’obbligo di notifica
Come è noto, un evento di violazione di dati personali mette alla prova la capacità dell’organizzazione su più livelli: dal management, all’operativo e finanche nei rapporti con i fornitori esterni. Ciò che conta è la capacità di reazione, tanto secondo gli standard di sicurezza informatica con la ricerca di un lesson learning a conclusione dell’incidente, quanto secondo le tempistiche stabilite per notificare all’autorità di controllo tale evento qualora abbia compromesso dei dati personali.
Capacità di reazione che non sempre è ordinata né composta e che di fatto è una prova sul campo dell’efficacia degli interventi svolti di formazione e sensibilizzazione, di procedure e istruzioni operative predisposte e degli stress test eseguiti per la gestione delle situazioni di crisi. Questo però significa per l’organizzazione aver agito in maniera preventiva, in modo tale da poter gestire tanto i flussi informativi interni quanto il fattore umano che è uno degli elementi fondamentali di cui dover tenere conto al fine di innestare un sistema di gestione o anche un singolo processo.
I limiti dell’obbligo di notifica imposto dal GDPR
L’obbligo di notifica imposto dal GDPR, però, sembra guardare in direzione opposta rispetto alla gestione corretta e consapevole della violazione di dati personali. Direzione che può essere la copertura di un quid pluris rispetto alla gestione secondo best practices, ma che rischia di deviare l’attenzione dell’organizzazione che subisce un data breach rispetto all’obiettivo di provvedere alla migliore e più elevata tutela dei diritti delle persone fisiche che possono essere impattate dalla violazione. Non solo interessati, dunque, ma chiunque possa subire un pregiudizio dall’evento.
Ebbene: in vista del maggio 2024, mese in cui la Commissione Europea sarà chiamata a trasmettere al Parlamento e al Consiglio le relazioni di valutazione e riesame periodico del Regolamento come previsto dal suo art. 97, sarà forse necessario riscontrare come attualmente l’obbligo di notifica stabilito dall’art. 33 GDPR si riveli insufficiente nel provvedere a una tutela efficace, nonostante il diaframma dell’autorità di controllo.
L’art. 33 prevede che, in caso di violazione, il titolare notifichi la medesima all’autorità di controllo competente, senza ingiustificato ritardo e comunque entro 72 ore, salvo che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Ciò comporta dunque una valutazione prognostica da svolgere per definire la soglia per cui sussiste tale obbligo, altrimenti la norma avrebbe dovuto imporre la notifica di qualsiasi violazione di dati personali.
Il rischio per i diritti e le libertà delle persone fisiche
Alcune riflessioni sono a questo punto necessario partendo proprio dalla lettera della norma. Nel processo decisionale riguardante l’esecuzione o meno della notifica, l’impatto non conta. Dunque, gravità o magnitudo non devono essere oggetto di computazione, in quanto il titolare deve solo valutare in maniera prognostica se l’evento già realizzato conduca a un rischio “improbabile” o “non improbabile” per i diritti e le libertà delle persone fisiche. Nella risk chain, il tutto si complica in quanto a un evento di violazione possono conseguire nuove minacce da cui estrarre nuove analisi di rischio. E dunque senza un metodo, o una metrica di riferimento, non solo si rischia confusione bensì, ancor peggio, di svilire l’accountability in autodichiarazioni non supportate da logiche o evidenze.
E se il metodo qualitativo o quantitativo può giovare, le normali valutazioni del rischio o di impatto non possono essere adottate nel momento in cui un evento si è già verificato e la norma impone di valutarne la improbabilità che un evento presenti un rischio. Sul piano operativo, le modalità di calcolo oggettivo di probabilità sono il nodo cruciale da sciogliere. È possibile impiegare alcuni metodi del risk management, ma l’assenza di indicazioni esplicite e chiare da parte di autorità di controllo e linee guida è un gap operativo piuttosto significativo soprattutto per chi lavora sul campo.
L’inefficacia del termine di 72 ore per la notifica
Nonostante i migliori intenti della norma, l’esprit des lois non ha giovato alle migliori prassi operative imponendo un termine di 72 ore per la notifica all’autorità di controllo.
In primo luogo, perché tale adempimento sposta il focus del titolare sulla tutela di sé stesso e non dell’interessato, da un lato volendo evitare per quanto possibile un’autodenuncia e dall’altro svolgendo adempimenti formali anche con più fasi di notifica. Nel quinquennio di operatività del GDPR, questo incombente è stato percepito come sostanzialmente inutile dalle organizzazioni nonché da parte degli stessi interessati. In fondo, l’intervento tempestivo di un’autorità di controllo, se non nel caso di data breach di particolare rilevanza, non può avere la medesima tempestività che invece dovrebbe avere un titolare del trattamento nel predisporre misure di mitigazione. E dunque la tempestività della notifica giace negli intenti di tutele più che realizzate, irrealizzabili.
Infine, giova notare che maggiore è l’entità del breach e minore è la possibilità di perimetrarne i contorni in modo definito. Ed ecco – come anticipato – il proliferare di notifiche parziali, spesso soggette a rettifica nel corso del tempo che nulla aggiungono alla capacità da parte dell’autorità di controllo di un intervento efficace. Ma anche qui le risorse organizzative del titolare sono disperse mentre, piuttosto, andrebbero destinate proprio alla ricerca ed attuazione delle misure di maggiore tutela per gli interessati.
In altre parole, se l’accountability è sovrana, come può essere efficace impiegare tempo ed energie del titolare a valutare e compilare quella che di fatto è percepita come una auto-segnalazione, rispetto alla rendicontazione circa la gestione dell’incidente e le garanzie di tutela per gli interessati?
Certamente, il lato positivo della notifica di cui all’art. 33 è stato quello di obbligare i titolari ad operare una attenta valutazione e perimetrazione della violazione, nonché predisporre un processo dedicato alla gestione dei data breach. Ma non sarebbe stato meglio pretendere il medesimo risultato indicandolo come obiettivo, eliminando il contraltare del rischio non improbabile che l’attenzione venga distolta dal focus principale di tutelare gli interessati?
La comunicazione agli interessati come nodo cruciale
Un’ultima considerazione va dedicata proprio agli obblighi di comunicazione nei confronti degli interessati, che il più delle volte si realizzano dopo le canoniche 72 ore o, ancor peggio, in seguito all’intervento dell’autorità di controllo con esercizio del potere correttivo di ingiungere la comunicazione previsto dall’art. 58 par. 2 lett. e) GDPR. Una corretta comunicazione nei confronti degli interessati coinvolti è invece tutt’altro che un adempimento formale, purché però sia tempestiva. Ma detta tempestività, nella norma, è “senza ingiustificato ritardo”. Che a fronte di un rischio elevato poteva ben contemplare invece un’indicazione temporale definita.
Quanto più gioverebbe, infatti, agli interessati e alla loro migliore tutela un’inversione circa le tempistiche prevedendo un obbligo di comunicazione entro le 72 ore dall’evento e un obbligo di notifica senza ingiustificato ritardo? Soprattutto, si imporrebbe una più immediata valutazione della sussistenza di un rischio elevato prima, e solo dopo di un rischio non improbabile.
Conclusioni
Sciogliere questo nodo cruciale in un’opera di eventuale revisione del GDPR non potrebbe che giovare agli obiettivi di protezione che lo stesso Regolamento si pone di conseguire. Altrimenti, tutto rischia di ridursi anche qui in meri formalismi e comunicazioni più difensive che dirette in modo idoneo agli interessati coinvolti affinché possano predisporre in autonomia delle misure per ridurre o evitare gli impatti della violazione realizzata.
