La diffusione ormai endemica degli attacchi informatici, se riguardata dal punto di prospettiva del GDPR, sta portando sempre più al centro dell’attenzione l’istituto della notifica al Garante.
Chiunque abbia avuto la ventura di misurarsi con un incidente che può comportare una violazione dei dati personali, sa bene che le energie organizzative e tecniche non possono concentrarsi solo su una immediata reazione intesa a verificare cosa sia accaduto e quali siano i rimedi per porvi riparo: una buona parte di quelle energie va al contrario convogliata anche, e da subito, sulla scelta per niente semplice di procedere o meno ad investire l’Autorità dell’accaduto mediante la famigerata notifica (anche solo preliminare) entro le 72 ore.
Ma allora, è necessario chiedersi: a cosa serve la notifica? Qual è la ratio effettiva che sta dietro a questo istituto? Coinvolgendo l’Autorità, si sta invocando un aiuto, o si sta cadendo nella fossa di una auto-denuncia?
Per provare a rispondere, è necessario mettere insieme i pezzi, sparsi, del puzzle.
Indice degli argomenti
Data breach: la notifica al Garante nel sistema del GDPR
Come noto, i considerando che precedono l’articolato del GDPR costituiscono una fucina interpretativa nella quale è sempre opportuno andare a pescare quando si approccia qualsiasi istituto. In materia di data breach, gli artt. 33 e 34 devono essere letti alla luce di quanto prevede il considerando 85: Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente”. Il considerando 87 completa il quadro: “Siffatta notifica può dar luogo a un intervento dell’autorità di controllo nell’ambito dei suoi compiti e poteri previsti dal presente regolamento”.
Costruita l’impalcatura in questi termini, sembra si possa affermare che il legislatore europeo veda nella notifica innanzitutto uno strumento di contenimento delle conseguenze pregiudizievoli del breach: l’accento cade infatti non tanto sulle prerogative sanzionatorie del Garante, quanto piuttosto su un suo ruolo attivo, utile e diretto nella articolazione delle azioni di mitigazione.
Data Breach e notifica al Garante: i chiarimenti dell’EPDB
Nelle Linee Guida 9/22 elaborate dell’EPDB sul data breach, il ruolo del Garante viene ancor meglio delineato, e la ratio dell’istituto della notifica si arricchisce di importantissime chiavi di lettura: “L’EDPB – si legge nella introduzione ai paragrafi 5 e 6 – ritiene che l’obbligo di notifica presenti una serie di vantaggi. All’atto della notifica all’autorità di controllo, il titolare del trattamento può ottenere consulenza sull’eventuale necessità di informare le persone fisiche interessate (omissis) Di conseguenza, la notifica della violazione dovrebbe essere vista come uno strumento per migliorare la conformità in materia di protezione dei dati personali”.
Non solo: la notifica, ben lungi dall’esser guardata con sospetto “dovrebbe costituire parte del piano di intervento in caso di incidente”.
Ecco allora un dato di una evidenza solare, che andrebbe posto al centro di qualsiasi discussione sul data breach: mettendo insieme le norme con la interpretazione che ne da l’EPDB, emerge la volontà del Legislatore non già di utilizzare la notifica di un breach come veicolo per arrivare all’accertamento di una violazione ed alla relativa sanzione, bensì prima di tutto come un asset di sistema nel quale chi è colpito dalla violazione, e l’Autorità di riferimento, lavorano assieme innanzitutto per limitare gli effetti malevoli del breach.
L’obbligo di notifica al Garante di un data breach e la sua violazione
Gli appena ricostruiti punti di riferimento, ovviamente, vanno completati e coordinati con l’altro elemento cardine che inevitabilmente entra in campo nel momento in cui un data breach viene notificato al Garante: è ovvio, infatti, che rientri nei compiti e nelle prerogative dell’Autorità, una volta ricevuta la notifica, anche andare a verificare se la violazione non debba esser ascritta all’assenza di misure di sicurezza o alla loro inadeguatezza, esercitando in tal caso tutti i suoi poteri correttivi e sanzionatori, come chiaramente evidenziato anche nelle citate Linee Guida.
“Se il titolare del trattamento omette di notificare una violazione dei dati all’autorità di controllo o agli interessati oppure a entrambi, nonostante siano soddisfatte le prescrizioni di cui agli articoli 33 e/o 34 GDPR, l’autorità di controllo dovrà effettuare una scelta e prendere in considerazione tutte le misure correttive a sua disposizione, tra cui l’imposizione di una sanzione amministrativa pecuniaria appropriata 22 , in associazione a una misura correttiva ai sensi dell’articolo 58, paragrafo 2, GDPR oppure come sanzione indipendente. Qualora l’autorità opti per una sanzione amministrativa pecuniaria il suo valore può ammontare fino a un massimo di 10 000 000 EUR o fino al 2 % del fatturato totale annuo globale di un’impresa ai sensi dell’articolo 83, paragrafo 4, lettera a), GDPR.”
Data breach: l’esperienza del Garante
Come si muove l’Autorità in caso di notifica di un data breach? Si può affermare, o no, che l’approccio del Garante tenga a sufficienza conto di entrambe le dimensioni dell’istituto?
Per rispondere, torna molto utile rileggere quanto riportato nelle Relazioni annuali 2022 e 2023: innanzitutto, le notifiche sono passate da 1.351 a 2.037. Un dato doppiamente inquietante: da un lato, perché rappresentativo di una crescita dell’80%; dall’altro, perché comunque se già solo si guarda all’area degli incidenti informatici (che ovviamente non copre tutte le ipotesi di breaches da tenere in considerazione), anche solo immaginare che in questo Paese vi siano state soltanto un paio di migliaia di violazione degne di notifica in un anno, fa quasi sorridere.
Ma al di là di ciò, soprattutto la Relazione 2023 testimonia un approccio che sembra poter costituire una buona base di partenza da parte dell’Autorità: se infatti vengono richiamati tanti casi in cui alla notifica sono seguite ispezioni, misure correttive e pesanti sanzioni, vi è stata la volontà, in un momento importante come quello relazione annuale, di dare conto anche di situazioni in cui il Garante non è arrivato ad esercitare in modo draconiano quei poteri: ricevuta ad esempio la notifica di un breach relativo dall’errato invio di una fattura ad un utente di un servizio sanitario diverso dall’effettivo intestatario, l’Autorità si è limitata ad un ammonimento nei confronti del titolare del trattamento (provv. 14 settembre 2023, n. 399, doc. web n. 9939623), valutando la violazione come minore “considerati taluni elementi, tra i quali: l’assenza di precedenti violazioni commesse dall’ente, l’elevato grado di cooperazione sin da subito prontamente dimostrato durante tutta la fase istruttoria e procedimentale, la circostanza che la comunicazione di dati sulla salute aveva riguardato un solo interessato e che la violazione era stata determinata da un errore di una dipendente, comunque sottoposta a procedimento disciplinare. Il Garante si è, pertanto, limitato ad ammonire il titolare del trattamento, ritenendo che tale tipologia di provvedimento potesse assolvere una funzione correttiva proporzionata, risultando anche una misura effettiva e dissuasiva”.
Una rondine non fa primavera, ma vederla volare è già qualcosa !
Data breach: prospettive evolutive del sistema di notifica
Guardando alla notifica del data breach con una panoramica dall’alto che tenga conto di tutto quanto fin qui evidenziato, si può affermare che esista un obiettivo al quale il sistema, con l’aiuto del Garante, dovrebbe tendere:
chi ha fatto i compiti a casa, articolando delle policies di sicurezza all’avanguardia in una relazione funzionale e sinergica con il DPO, premurandosi anche di acquisire delle certificazioni (es: ISO 27001) e di investire energie e risorse in un lavoro organico e strutturato da parte degli uffici interni dedicati alla sicurezza ed alla privacy, deve poter contare su un approccio senziente ove si ritrovi a dover gestire un attacco informatico o qualsiasi altra tipologia di infortunio che si traduca in una violazione di dati personali. Deve, in altri termini, poter affrontare la notifica al Garante senza alcun timore in virtù del fatto che l’Autorità che quella notifica riceve, lungi dal ricorso automatico a ispezioni, misure correttive e sanzionatorie, sia sufficientemente aperta e flessibile da prendere atto che l’incidente non sempre rappresenta la spia di una mancanza sanzionabile.
E’ solo e soltanto in questo modo che il problema della disaffezione alla notifica (testimoniato plasticamente dai numeri richiamati) potrà rimanere limitato esclusivamente a coloro che si sono ritrovati invischiati nelle conseguenze pregiudizievoli di un breach proprio a causa della lassità, o della totale inesistenza, di una politica di sicurezza idonea: in questo caso sì, che l’elemento correttivo/sanzionatorio può e deve continuare a svolgere un ruolo centrale.
Ci vuole in altri termini elasticità ed equilibrio innanzitutto da parte degli Uffici del Garante: la relazione annuale che sarà presentata tra qualche settimana, potrà dirci se, su questo scivolosissimo terreno, saranno stati fatti dei passi avanti o meno.
