Cosa fare in caso di data breach: ecco le nuove linee guida EDPB

Conclusa la fase di consultazione pubblica, l’EDPB ha adottato la versione aggiornata delle linee guida 09/2022 riguardanti gli obblighi di notifica delle violazioni dei dati personali. Ecco tutti i punti salienti.

EDPB ha adottato le nuove linee guida in tema di notifica dei data breach, aggiornando quanto fatto dal Working Party ex articolo 29 pochi mesi dopo l’entrata in vigore del GDPR, sia per un opportuno coordinamento fra le linee guida e la casistica sorta sotto la normativa GDPR, sia per aggiornare agli ultimi sviluppi tecnologici le indicazioni rivolte agli utenti.

Le linee guida 09/2022 sono state adottate il 28 marzo 2023, dopo una fase di consultazione pubblica aperta lo scorso ottobre e che ha raccolto numerosi spunti, specie con riferimento al meccanismo “one-stop-shop” che include la possibilità di notificare una violazione dei dati ad una sola autorità (quella presso la quale l’azienda che tratta i dati in più paesi UE ha stabilito la propria rappresentanza).

Le modifiche proposte dal pubblico e transitate nella versione finale si concentrano, infatti, sui paragrafi 70 e seguenti delle linee guida, relativi al caso del titolare che non ha uno stabilimento all’interno dell’UE (pensiamo ad un’azienda USA che non abbia stabilito una propria rappresentanza in territorio comunitario): in questo caso la notifica va inviata all’autorità garante di ogni stato membro UE i cui cittadini siano stati coinvolti nel data breach.

La ricaduta forse più percepibile di questa modifica è contenuta nell’Allegato VII delle Linee Guida ovvero nel diagramma di flusso operativo (riportato nell’immagine sottostante) che guida gli operatori sui passaggi da seguire in caso di data breach.

Ulteriore precisazione, sempre sul tema e molto dibattuta, è quella relativa al fatto che la presenza di un mero rappresentante del titolare extra-UE non fa scattare il meccanismo dello one-stop-shop (paragrafo 73 delle linee guida), servendo allo scopo un effettivo stabilimento nell’Unione (sul punto l’EDPB richiama le proprie linee guida 3/2018 in tema di ambito di applicazione territoriale del GDPR).

L’EDPB si spende anche in considerazioni di dettaglio circa la compatibilità fra la funzione di Data Protection Officer e quella del rappresentante di un titolare del trattamento che ha sede all’esterno dell’UE, con l’EDPB che afferma come le due funzioni non siano fra loro compatibili e che quindi il soggetto chiamato a notificare il data breach rimane il titolare del trattamento, con il DPO “comunitario” che può al più essere coinvolto nel processo di notifica se questo rientra tra i suoi compiti.

Le prescrizioni dell’EDPB

Al netto del dibattito in tema di titolare extra-UE privo di stabilimento, l’EDPB conferma il proprio rigido approccio in tema di data breach, già evidente nelle linee guida 01/2021 in tema di esempi di violazioni di dati soggette a notifica.

Alcuni esempi possono essere utili per comprendere l’angolo visuale del gruppo dei garanti, che sembrano in particolare concepire il registro dei data breach come un elenco capillare di ogni violazione (dalla più formale a quella più significativa) dei dati personali.

Ad esempio, l’EDPB include fra i casi da includere nel registro dei data breach anche l’ipotesi di una “breve interruzione della fornitura di energia elettrica” che per qualche minuto impedisca il funzionamento di un call center aziendale rivolto ai clienti (che in questo modo non sono in grado di contattare il titolare ed esercitare i loro diritti).

Chiaramente l’EDPB non prescrive per questo caso né la notifica all’autorità garante né la comunicazione agli interessati i cui dati siano stati compromessi, ma afferma comunque la necessità di compilare il registro dei data breach indicando le circostanze del caso.

Un altro esempio di data breach che dà luogo alla sola compilazione del registro è la compromissione di dati già pubblicamente disponibili o di dati adeguatamente crittografati.

Circa la crittografia del dato l’EDPB ricorda che solo una crittografia “sicura” consente di considerare i dati come non accessibili da terzi non autorizzati, questo comporta una conoscenza specifica in capo ai titolari circa i meccanismi di crittografia (es. complessità delle password, necessità di variare credenziali di default, crittografia durante lo stand-by del dispositivo, adeguamento tempo per tempo degli strumenti di crittografia ecc.).

Quando il titolare è “consapevole” della violazione

Altre considerazioni interessanti sono spese dall’EDPB con riferimento ad una circostanza essenziale nello sviluppo diacronico delle procedure relative alla gestione della violazione dei dati, ovvero il momento dal quale decorrono i ristretti termini per la notifica all’autorità garante (entro 72 ore) e per la comunicazione agli interessati (da effettuarsi senza ingiustificato ritardo).

Questi termini, ai sensi dell’art. 33 GDPR, decorrono dal momento in cui il titolare “è venuto a conoscenza” della violazione.

In primo luogo, l’EDPB si preoccupa di sgomberare il campo da possibili usi distorti della normativa, ricordando che i principi generali del GDPR impongono l’adozione di misure di sicurezza e di procedure che consentano di venire a conoscenza delle violazioni entro breve tempo. Venire a conoscenza tardivamente di una violazione è quindi di per sé stesso un indice di una cattiva organizzazione dell’azienda/ente dal punto di vista del rispetto della normativa in tema di protezione dei dati personali e può essere autonoma fonte di sanzione.

Venendo al momento in cui il titolare “viene a conoscenza” della violazione l’EDPB fornisce alcuni esempi utili a comprendere quando il titolare deve far partire la “macchina” che ha predisposto internamente alla sua realtà per affrontare nei termini di cui alla normativa queste emergenze.

Ad esempio, il titolare è considerato “a conoscenza” della violazione se:

1. riceve una mail da un cliente in cui questi gli dice che è stato contattato da qualcuno che impersonava il titolare e che verosimilmente ha avuto accesso ai dati del titolare stesso;
2. dopo aver condotto una rapida indagine è in grado di suffragare la tesi del cliente che lo ha contattato avendo trovato prove di un’intromissione nel suo sistema.

A questo punto (dopo quindi l’indagine che ha confermato la segnalazione del cliente), il titolare deve tempestivamente adottare tutte le procedure del caso (comunque entro 72 ore dovendo procedere alla notifica all’autorità garante entro tale termine se ricorrono i presupposti).

La valutazione del rischio

Nel momento in cui il titolare è “a conoscenza” di una compromissione dei dati personali questi attiva una serie di procedure chiamate innanzitutto a comprendere se la violazione:

1. non comporta un rischio per i diritti e le libertà delle persone coinvolte (circostanza che ha come conseguenza la mera registrazione della compromissione nel registro dei data breach);
2. comporta un rischio per i diritti e le libertà delle persone coinvolte (circostanza che ha come conseguenza la registrazione della compromissione nel registro dei data breach e la notifica all’autorità garante);
3. comporta un rischio elevato per i diritti e le libertà delle persone coinvolte (circostanza che ha come conseguenza la registrazione della compromissione nel registro dei data breach, la notifica all’autorità garante e la comunicazione agli interessati coinvolti nella compromissione);

Nell’effettuare questa valutazione l’EDPB raccomanda di considerare:

1. il tipo di violazione;
2. la natura, tipologia (es. dati comuni ovvero appartenenti a categorie particolari o relativi a condanne penali o reati) e volume dei dati compromessi;
3. la facilità per soggetti terzi non autorizzati di identificare gli individui i cui dati sono stati compromessi;
4. le possibili conseguenze per gli individui;
5. le caratteristiche peculiari degli individui coinvolti (es. nel caso di minori o individui vulnerabili);
6. le caratteristiche peculiari del titolare (es. una struttura sanitaria);
7. il numero di interessati coinvolti.

Alla valutazione del rischio si associa poi una valutazione circa le procedure da intraprendere per contenere il rischio stesso, con riferimento sia al caso specifico (contenendo il rischio per gli interessati coinvolti nel data breach) sia all’evitare che un simile incidente di sicurezza si ripeta (in questo senso anche un data breach fortunosamente innocuo può rendere necessario un intervento correttivo molto incisivo).

La comunicazione agli interessati

Un altro degli aspetti chiave della procedura da attuare in caso di data breach è quello relativo al livello di “allarme” più elevato ovvero al caso in cui il titolare sia di fronte ad un rischio elevato per le libertà ed i diritti degli interessati e debba quindi procedere alla comunicazione della violazione agli interessati coinvolti.

Sul punto le prassi delle varie realtà che sono state nel recente passato coinvolte in gravi violazioni dei dati personali hanno spesso lasciato a desiderare rispetto a quanto previsto dalla normativa, che prescrive una comunicazione in linguaggio semplice e chiaro circa:

1. la natura della violazione dei dati personali;
2. i dati di contatto del DPO o di altro punto di contatto da cui ottenere maggiori informazioni;
3. le probabili conseguenze della violazione;
4. le misure intraprese o da intraprendere per contenerne gli effetti negativi (ivi inclusi consigli agli individui interessati per mitigare gli effetti della violazione, come ad esempio un repentino aggiornamento delle credenziali).

Spesso, però, questi requisiti vengono accantonati con l’intenzione di dare risalto ad una minimizzazione della violazione subita o a comunicati apologetici.

L’EDPB precisa sul punto che le comunicazioni relative ai data breach devono essere ben distinte dalle comunicazioni “ordinarie” da parte del titolare (ad esempio non è lecito “nascondere” una comunicazione di un data breach all’interno di una newsletter periodica) e devono essere fornite con il mezzo di comunicazione più efficace (salvo questo comporti uno sforzo sproporzionato in capo al titolare), ad esempio l’EDPB afferma che in generale non è uno strumento idoneo di comunicazione della violazione di dati un comunicato stampa o una notizia su un blog aziendale.

Nel caso, poi, in cui non si possa optare per uno strumento di comunicazione individuale, il titolare è tenuto a moltiplicare gli strumenti di comunicazione adottati per garantire massima diffusione (ad esempio fornendo la notizia su tutti i social aziendali oltre che sul sito e a mezzo stampa).

Quanto alla lingua in cui comunicare il data breach l’EDPB ricorda che la lingua utilizzata usualmente per le comunicazioni con l’utenza/clientela è generalmente adeguata anche nel caso di comunicazione della violazione di dati, questo salvo però il caso in cui il data breach coinvolga soggetti di cui il titolare conserva i dati per conto di terzi o comunque soggetti con cui lo stesso non ha in precedenza interagito, in tal caso (così come nel caso di possibile coinvolgimento nella violazione di dati di soggetti residenti in un diverso stato UE) la comunicazione deve essere fornita in più lingue per essere maggiormente accessibile.

Il ruolo del DPO

Le linee guida si soffermano infine sul ruolo del DPO, che in questi casi deve fornire consulenza e informazione al titolare, monitorando il rispetto del GDPR e fornendo pareri anche in relazione alle eventuali valutazioni di impatto (e data breach che riguardano i trattamenti oggetto di valutazione).

Il duplice ruolo del DPO emerge con particolare chiarezza in questa delicata fase, in quanto il titolare nel notificare una violazione deve indicare i dati e i contatti del responsabile per la protezione dei dati, cosicché quest’ultimo possa in seguito fungere da tramite fra l’autorità garante ed il titolare.

L’EDPB afferma poi che nulla vieta di affidare al DPO l’incarico di tenere il registro dei data breach, anche se questo compito non rientra tra quelli “ordinari” del responsabile.