La versione finale, la 2.0, delle Linee Guida 9/2022 dello European Data Protection Board” (“EDPB”) sulla gestione e la notifica della violazione di dati personali ha precisato quali siano i presupposti per la notifica di un data breach presso uno stabilimento che sia collocato al di fuori dello Spazio Economico Europeo (“SEE”), integrando il paragrafo 73) della sezione II.C.2. e lasciando inalterato il restante contenuto delle precedenti linee guida, già emesse dal WP29, fatta eccezione, evidentemente, per qualche lieve modifica di carattere letterale.
Il periodo di consultazione del documento avrebbe potuto essere occasione per risolvere qualche ulteriore criticità, ad esempio chiarire le indicazioni tecniche per discernere la riferibilità territoriale dei dati personali oggetto di trattamento da parte delle imprese. Ma queste, invece, rimangono.
Le genesi della versione 2.0 delle Linee Guida
Il 3 ottobre 2017, nella vecchia composizione del Gruppo di Lavoro ART29, l’EDPB aveva dato avvio alla redazione di un primo documento circa la gestione e la notifica della violazione di dati personali, poi emendato e adottato il 6 febbraio 2018.
Il proliferare della casistica, lo sviluppo tecnologico e la necessità di indicazioni sempre più chiare e precise hanno spinto il Board ad aggiornare il documento, mediante la versione 1.0, risalente al 10 ottobre 2022, sottoposta a consultazione pubblica, in seguito alla quale è stata resa nota la versione finale, la 2.0, delle Linee Guida 9/2022.
Misure pratiche e consigli tecnici
Analizzando i punti salienti delle Linee Guida, emerge la volontà del Board di chiarire alcuni aspetti legati ai principi statuiti dal Regolamento (UE) 2016/679 (“GDPR”) concernenti la nozione di “violazione dei dati personali”, come descritta dall’art. 4, n. 12 del GDPR (intesa come “violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai dati personali”) senza tralasciare la funzione pratica del documento: “un esempio di perdita di dati personali può essere la perdita o il furto di un dispositivo contenente una copia del database dei clienti del titolare del trattamento. Un altro esempio di perdita può essere il caso in cui l’unica copia di una serie di dati personali sia stata criptata da un ransomware o sia stata criptata dal titolare del trattamento utilizzando una chiave non più in suo possesso” (si legga il paragrafo 14 delle Linee Guida).
L’art. 32 del GDPR, con riferimento alla “sicurezza del trattamento” spiega che nell’implementazione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, occorre considerare, tra l’altro, “la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza continue dei sistemi di trattamento e dei dati personali””; sulpunto, l’EDPB ha rammentato la necessita di adottare alcune misure pratiche:
- le informazioni relative a tutti gli eventi legati alla sicurezza devono essere rese note dal titolare ad una o più persone deputate ad affrontare gli incidenti, stabilire l’esistenza di una violazione e valutare il rischio;
- il rischio derivante dalla violazione – a carico degli interessati – deve essere valutato secondo i seguenti gradi: probabilità di rischio assente, rischio medio o rischio elevato, informando, di conseguenza, le sezioni pertinenti dell’organizzazione;
- se necessario, si dovrà procedere alla notifica all’autorità di controllo e alla comunicazione della violazione alle persone interessate;
- allo stesso tempo, il titolare del trattamento deve agire per contenere i pericoli e i danni derivanti dalla violazione;
- sarà, inoltre, necessario documentare i singoli passaggi della violazione mediante la redazione di apposita documentazione, una relazione, ad esempio, mediante la quale dare atto delle misure correttive approntate (si legga il paragrafo 39 delle Linee Guida).
Vengono, altresì, elencati consigli tecnici per rilevare ed affrontare una violazione nel migliore dei modi: per individuare alcune irregolarità nel trattamento dei dati, si suggerisce ai titolari del trattamento di avvalersi di strumenti specifici come analizzatori di flussi di dati e di log, grazie ai quali risulta più agevole definire gli eventi e far scattare gli allarmi; puntualizzando come tali misure e meccanismi di segnalazione debbano essere quanto più dettagliati possibile al fine di consentire maggiore controllo nonché migliore gestione nei piani di risposta agli incidenti e/o negli accordi di governance del titolare (paragrafo 37 delle Linee Guida). Se, ad esempio, una persona informi il titolare del trattamento di aver ricevuto un’e-mail che contenga dati personali e da cui si evinca che il sistema di sicurezza del titolare del trattamento sia stato compromesso, il titolare dovrà avviare un’indagine per identificare l’intrusione nella propria rete ed avviare la procedura eventuale di notifica all’autorità di controllo e di comunicazione agli interessati i cui diritti e libertà siano a rischio.
Quando può dirsi che il titolare del trattamento abbia consapevolezza della violazione?
Sul punto, il Board puntualizza che il titolare possa dirsi a “conoscenza” della violazione quando abbia un “ragionevole grado di certezza che la violazione si sia verificata” e che questa abbia causato una compromissione di dati personali. Di seguito, alcuni esempi (si leggano i paragrafi 33 e ss. delle Linee Guida): un terzo informa il titolare del trattamento di aver ricevuto per errore i dati personali di uno dei suoi clienti e fornisce la prova dell’intervenuta divulgazione non autorizzata. Dal momento che il titolare del trattamento è stato reso edotto anche attraverso il supporto di prove evidenti di una violazione della riservatezza, non vi è dubbio che la stessa si sia verificata, e che comunque il titolare ne sia a conoscenza. Ancora: in caso di smarrimento di una chiavetta USB contenente dati personali non criptati, spesso non è possibile constatare con assoluta certezza che persone non autorizzate abbiano avuto accesso a tali dati.
Tuttavia, il titolare del trattamento in questo caso, pur non essendo in grado di stabilire fin da subito se si sia o meno verificata una violazione della riservatezza, dovrà comunque effettuare la notifica all’autorità competente, in quanto esiste un ragionevole grado di certezza che si sia verificata una violazione dovuta dalla perdita di disponibilità delle informazioni contenute nel dispositivo. Da quanto illustrato, emerge, dunque, che il momento esatto “di presa coscienza” da parte del titolare è variabile e dipende delle circostanze; la conoscenza sarà quindi immediata in tutti quei casi in cui il titolare del trattamento dati sia stato o direttamente informato per la prima volta di una potenziale violazione, in considerazione della segnalazione di un terzo o se abbia rilevato personalmente l’evento. Diversamente, la consapevolezza/conoscenza della violazione potrebbe non essere immediata, richiedendo, al contrario, del tempo per indagare se si sia effettivamente verificata; durante questo periodo, secondo quanto affermato dall’EDPB, il titolare del trattamento non può dirsi pienamente “consapevole”. È, in ogni caso, necessario che l’indagine iniziale venga avviata il prima possibile e sia quanto più dettagliata per permettere di stabilire con un ragionevole grado di certezza la sussistenza e la gravità della violazione. Una volta che il titolare del trattamento sia venuto a conoscenza di una violazione che sia suscettibile di notifica, questa deve intervenire senza giustificato ritardo, in ogni caso, non oltre le 72 ore dal momento di presa conoscenza.
Suggerimenti per la notifica all’autorità di controllo
L’art. 33, par. 1 del GDPR, statuisce che “in caso di violazione dei dati personali, il titolare del trattamento notifica senza ingiustificato ritardo e, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, la violazione dei dati personali all’autorità di controllo competente[1]” indicando “a )la natura della violazione, le categorie e il numero approssimativo di interessati[2] le categorie e il numero approssimativo di registrazione di dati[3]; b) il nome e i dati di contatto del titolare o di altro punto di contatto per ottenere maggiori informazioni; c )le possibili conseguenze della violazione; d) le misure adottate o che si intendono adottare per far fronte” (art. 33, par. 2).
Come sottolineato dall’EDPB[4], scopo della notifica non è soltanto quello di ottenere indicazioni circa l’opportunità di comunicare o meno la violazione. In alcuni casi, sarà ovvio che, a causa della natura della violazione e della gravità del rischio, il titolare del trattamento dovrà effettuare tale comunicazione, senza indugio, a favore delle persone interessate. Ad esempio, se esiste una minaccia immediata di furto d’identità, o se vengono divulgate online categorie particolari di dati personali, il titolare del trattamento dovrà agire senza ritardi ingiustificati per contenere la violazione e comunicarla, conseguentemente, alle persone interessate. In circostanze eccezionali, ciò potrebbe avvenire anche prima della notifica all’autorità di controllo. Più in generale, la notifica all’autorità di controllo non può servire come giustificazione per la mancata comunicazione della violazione all’interessato, quando è richiesta. Dovrebbe inoltre essere chiaro che, dopo aver effettuato una prima notifica, il titolare abbia la facoltà di aggiornare l’autorità di controllo se, nel corso dell’indagine, risulti che l’incidente verificatosi è stato contenuto e non si è effettivamente verificata alcuna violazione. Queste informazioni potrebbero quindi essere aggiunte a quelle già fornite all’autorità di controllo e l’incidente potrebbe essere registrato di conseguenza come una non violazione. Non è prevista, peraltro, come precisato dal Board[5], alcuna sanzione per la segnalazione di un incidente che, in definitiva, si rivela non essere una violazione. Si tratta della procedura di notifica “per fasi” che lo stesso GDPR ammette all’art. 33, paragrafo 4: “Se, e nella misura in cui, non è possibile fornire le informazioni contemporaneamente, le informazioni possono essere fornite in fasi successive senza indebito ulteriore ritardo“.
L’EDPB si focalizza anche sulla possibilità che la notifica venga effettuata in ritardo: in questo caso, è necessario che il titolare manifesti e documenti le ragioni. Un tale scenario potrebbe verificarsi quando vengano subite violazioni della riservatezza simili, in un breve periodo di tempo, che riguardano un numero considerevole di interessati, nello stesso modo. Il titolare potrebbe venire a conoscenza di una violazione e, al momento di avvio delle indagini, poco prima della notifica, ravvisi ulteriori violazioni, determinate da cause diverse.
A seconda delle circostanze, il titolare potrebbe impiegare un po’ di tempo per stabilire l’entità delle violazioni e, piuttosto che notificare ogni singola violazione, comunicare l’intervenuto “data breach” con un’unica notifica, a condizione che esso riguardi lo stesso tipo di dati personali violati nello stesso modo, in un arco di tempo relativamente breve. Se, al contrario, si verifica una serie di violazioni che presentino differenti modalità e che riguardino tipi diversi di dati personali, la notifica dovrebbe seguire l’iter normale, prescritto dall’art. 33.
Le violazioni transfrontaliere
Come noto, in caso di trattamento transfrontaliero[6] di dati personali, una violazione può riguardare soggetti interessati in più di uno Stato membro. A tal proposito l’articolo 56, paragrafo 1, del GDPR statuisce che: “Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare o del responsabile del trattamento è competente ad agire come autorità di controllo capofila per il trattamento transfrontaliero effettuato da tale titolare o responsabile del trattamento secondo la procedura di cui all’articolo 60.”
In caso di violazione che comporti un trattamento transfrontaliero, la notifica deve essere effettuata all’autorità di controllo capofila, che non è necessariamente quella del luogo in cui si trovano gli interessati o in cui si è verificata la violazione. Ciò che risulta importante è, invece che, nel momento in cui viene effettuata la notifica all’autorità capofila, il titolare del trattamento indichi: se la violazione possa riguardare soggetti interessati che si trovino in altri Stati membri e quali siano.
Nell’eventualità in cui il titolare del trattamento dovesse aver dubbi sulla corretta individuazione dell‘autorità di controllo capofila, deve almeno effettuare la notifica all’autorità di controllo competente nel luogo in cui si è verificata la violazione. Se il titolare del trattamento ha dubbi su quale sia l’autorità di controllo capofila, deve almeno notificare all’autorità di controllo locale in cui si è verificata la violazione.
Cosa accade se la violazione riguarda i dati trattati da un soggetto stabilito extra UE
Qui si registra l’unica significativa novità rispetto alla versione 1.0 delle Linee Guida: cosa succede se la violazione concerna un titolare del trattamento che non ha sede nell’UE? Basti pensare ad una società statunitense che non abbia una rappresentanza nell’Unione. Il paragrafo 73 delle Linee Guida afferma che, in questo caso, la notifica di “data breach” deve essere inviata all’autorità garante di ogni stato membro i cui cittadini siano riguardati dalla violazione dei dati. In buona sostanza, il Board esclude, per queste ipotesi, l’applicazione del meccanismo “one-stop-shop”, mentre la versione 1.0 riteneva sufficiente la notifica della violazione all’autorità garante del paese presso cui risiede il rappresentante. Questa “innovazione”, chiaramente, sposta il focus sulla necessità che il titolare del trattamento abbia ben chiara la “provenienza geografica” degli interessati, con l’insorgere di considerevoli perplessità sulle modalità con cui le informazioni dovranno essere raccolte, al fine di adempiere agli obblighi prescritti in capo allo stesso titolare.
È vero che, a fini di maggiore intellegibilità, il Board richiama le linee guida 5 aprile 2017 del WP29 sull’identificazione delle autorità di controllo e le linee guida 3/2018 sull’ambito di applicazione territoriale del GDPR, ma è altrettanto vero che potrebbe non risultare così immediato comprendere quali siano gli adempimenti da svolgere e con quali modalità, stante, altresì le rigorose tempistiche richieste dalla normativa per la notifica della violazione.
Conclusioni
Può dirsi che il periodo di consultazione pubblica avrebbe potuto essere l’occasione per chiarificare ulteriormente gli aspetti rilevanti delle Linee Guida, quali esempi di criteri ed indicazioni tecniche per discernere la riferibilità territoriale dei dati personali oggetto di trattamento da parte delle imprese. Il riflesso dei suggerimenti del Board comporta inevitabilmente il dover sostenere dei costi operativi non indifferenti, specie in relazione alla concessione di servizi online, nell’ottica di proteggere e tutelare la riservatezza dei dati degli interessati.
Note
[1] Art. 55 par. 1 GDPR “Ciascuna autorità è competente per l’esercizio dei compiti assegnati e per l’esercizio dei poteri conferiti ai sensi del presente regolamento sul territorio del proprio stato membro”.
[2] L’edpb suggerisce che per interessati debbano intendersi le persone i cui dati sono stati colpiti da una violazione
[3] In questo caso le categorie di registrazione di dati possono riferirsi, secondo il commento dell’EDPB, ai diversi tipi di registrazioni che il titolare del trattamento dati può trattare come ad esempio dati sanitari, registri scolastici, informazioni sull’assistenza sociale, numeri di conto bancario.
[4] Paragrafi 49 e ss. delle Linee Guida. Si legga, in particolare, il paragrafo 59.
[5] Paragrafo 60 delle Linee Guida.
[6] A norma dell’art. 4 par. 23 del GDPR si definisce trattamento transfrontaliero: a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro; b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento nell’unione ma che potrebbe incidere su interessati di più stati
