Il GDPR 679/16 disciplina il data breach, prevedendo espressamente l’ obbligo di notifica e di comunicazione in capo al Titolare del trattamento, nel caso in cui la violazione di dati personali possa compromettere le libertà e i diritti dei soggetti interessati. L’approccio della precedente Direttiva 95/46/CE era completamente differente, poiché non prescriveva alcun obbligo di notifica. Il Codice Privacy italiano, ad oggi, prevede uno specifico obbligo di notifica dei data breach, esclusivamente per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. Il nuovo Regolamento, invece, attribuisce alla notifica e alla conseguente comunicazione agli interessati una funzione essenziale di tutela ed un obbligo esteso a tutti i Titolari di trattamento. Anche il Gruppo di Lavoro W29 ha contribuito a chiarire e fornire elementi interpretativi delle nuove norme.
Gli artt. 33 e 34 del GDPR prescrivono ai Titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.
Il criterio per valutare la necessità di avviare una procedura di notifica all’autorità è la probabilità che la violazione possa porre a rischio o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui.
In sostanza:
- L’art. 33 impone al Titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza.
- Il Titolare è considerato “a conoscenza” quando abbia un ragionevole grado di certezza in merito all’ incidente di sicurezza. Tale condizione di certezza può essere raggiunta magari solo dopo un’indagine approfondita, per cui non necessariamente scatta il termine di notifica immediatamente. E’ necessario che i Titolari predispongano un piano di sicurezza che preveda procedure organizzative interne per la gestione di eventuali violazioni, nonché l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per accertare e risolvere il problema.
- L’art. 33 inoltre dispone l’obbligo in capo al Responsabile di informare tempestivamente il Titolare dell’avvenuta violazione. Le linee guida prevedono che anche il Responsabile, sulla base di specifica autorizzazione del Titolare, possa eseguire la notifica.
- La notifica deve essere effettuata, in modo tempestivo, all’autorità di controllo competente, a norma dell’articolo 55 (per l’Italia il Garante della Privacy).
- Poiché le condizioni e le modalità in cui si verificano i data breach sono variabili, sono previste diverse tecniche di notificazione:
- per “approssimazione” con successiva specificazione precisa;
- “per fasi”, comunicando di volta in volta all’Autorità gli accertamenti espletati;
- “aggregata”, differita dopo le 72 ore, nel caso di violazioni ripetute.
- L’art. 34 prevede che i Titolari, in caso di rischio “elevato”conseguente alla violazione, comunichino agli Interessati la dispersione, o il danneggiamento o la sottrazione dei loro dati personali;
- devono essere privilegiate modalità di comunicazione diretta con i soggetti interessati (quali email, SMS). Il messaggio deve essere comunicato in maniera evidente e trasparente.
Appare, quindi, chiaro che la nuova normativa risulta puntuale e specifica e il Gruppo W29, sottolinea che spetta ai Titolari adottare un comportamento diligente e tempestivo, che sarà in ogni caso soggetto a valutazione da parte dell’Autorità di controllo.
