Data breach, notifica le violazioni tramite linee standard
Come segnalare un Data Breach al Garante
Al via il modello del Garante per la segnalazione degli incidenti, informatici e no, da cui sia derivata una violazione della privacy: dai virus più o meno sofisticati alle perdite di dispositivi, dalle sottrazioni di banche dati alle alterazioni di file, dai furti di password ai ricatti online e così via.
Si tratta del modello utilizzabile nel caso di «data breach», cioè la violazione della sicurezza privacy che obbliga tutti i titolari del trattamento ad auto-segnalare l’incidente al Garante e alle persone potenzialmente danneggiate, a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone.
Se il rischio è elevato, oltre alla notifica al Garante scatta anche l’obbligo di trasparenza a favore dei soggetti potenzialmente danneggiati: per fare un esempio se rubano le password di accesso a un conto online, il correntista lo deve sapere.
A questi due obblighi ci sono eccezioni, che vanno analiticamente giustificate già nel modello di notifica, che il Garante ha allegato al suo provvedimento n. 157 del 30 luglio 2019.
Gli obblighi, quando scattano, riguardano tutti coloro che trattando dati, senza esclusioni.
Ecco cosa si deve indicare nel modello:
Tipo di notifica – La notifica al Garante potrebbe essere una notifica completa, oppure una notifica preliminare cui segue una integrativa o più integrative.
Chi effettua la notifica – La notifica è un atto del titolare del trattamento. Nella notifica, però, occorre indicare anche, se nominato, il Dpo, responsabile della protezione dei dati, per informazioni relative alla violazione. Occorre anche segnalare ulteriori soggetti coinvolti nel trattamento, come i contitolari, i responsabili esterni del trattamento, i subresponsabili e i rappresentanti del titolare non stabilito nell’Ue.
I tempi – Le informazioni sintetiche sulla violazione riguardano, se accertato, il tempo della stessa (quando è avvenuta e se sia ancora in corso). Nel modello si chiede di indicare il momento (data e ora) in cui il titolare del trattamento sia venuto a conoscenza della violazione. A questo proposito, rammentando che il regolamento Ue 2016/679 prevede un termine di 72 ore (decorso il quale scattano sanzioni amministrative), il modello chiede di giustificare eventuali ragioni del ritardo.
Il tipo di violazione – Ci sono tre tipi di violazioni: perdita di confidenzialità; perdita di integrità; perdita di disponibilità.
Le conseguenze – In questa sezione si distinguono: conseguenze ed effetti negativi. Le conseguenze in caso di perdita di confidenzialità consistono in divulgazione eccessiva oppure nella possibilità di correlazione di dati oppure di utilizzo per finalità prima non previste. Le conseguenze in caso di perdita di integrità possono specificarsi nella modifica dei dati e/o della loro consistenza. Le conseguenze in caso di perdita di disponibilità possono attenere il mancato accesso a servizi, il malfunzionamento e difficoltà nell’utilizzo di servizi. In ogni campo del modello del Garante si lascia spazio a integrazioni relative ai singoli casi concreti.
Gli effetti – Nella sezione relativa agli effetti negativi per gli interessati, il compilatore deve indicare i potenziali danni, che possono attenere a danni economici, reputazionali, furti di identità, ecc.
La stima – Il modello chiede di prendere una posizione a riguardo della gravità della violazione, contrassegnando se la stessa sia trascurabile, bassa, media o alta, con le relative motivazioni.
Le cause – Si devono specificare le cause del data breach, da collegare ad azioni accidentali (interne o esterne) oppure ad azione intenzionale (interne o esterne).
I dettagli – Il modello presenta spazi in cui discorsivamente e analiticamente descrivere l’incidente di sicurezza, le categorie di dati personali violati, i sistemi e delle infrastrutture IT coinvolti nell’incidente, con indicazione della loro ubicazione e le misure di sicurezza tecniche e organizzative adottate per garantire la sicurezza dei dati, dei sistemi e delle infrastrutture.
Dati personali – Il modello prevede una vasta casistica, non esaustiva, di dati oggetto di violazione: da quelli identificativi, ai recapiti fisici e virtuali, alle credenziali di accesso a internet o piattaforme, a comportamenti dell’interessati (navigazione internet), a dati di pagamento. Altre ipotesi riguardano i risultati di profilazione dell’interessato e l’intera serie dei dati sensibili, genetici e biometrici e i dati relativi a condanne e reati. Al compilatore è lasciata la possibilità di indicare qualsiasi altro dato, sebbene non elencato tra le varie opzioni espresse.
Quantità di dati – Il modello chiede di dare conto del volume, anche approssimativo, dei dati personali violati, oppure di indicare di non avere ancora una stima. In questa sezione si possono scrivere per esempio il numero di referti, il numero di record di un database, il numero di transazioni registrate.
Interessati – Fermo restando che coinvolti nella violazione la notifica non deve includere i dati personali oggetto di violazione e, tra essi, i nomi dei soggetti interessati dalla violazione, bisogna indicare le categorie.
Ricordiamone alcune, precisando che l’elenco del modello non è esaustivo e il compilatore può aggiungere altre ipotesi: dipendenti, clienti, pazienti, minori, persone vulnerabili, ecc. Nel modello si chiede di indicare se è noto il numero preciso o stimato degli interessati.
Misure riparatorie – Nel modello si deve indicare quali misure riparatorie siano già state adottate o in corso di adozione per diminuire i danni delle violazioni già subite e per prevenirne di future.
Comunicazione agli interessati – Il modello chiede di indicare se la violazione è stata comunicata agli interessati o sta per esserlo.
In caso negativo bisogna spiegare al Garante la ragione di questa mancata comunicazione.
Bisogna essere convincenti e dettagliare per filo e per segno perché non si dice nulla agli interessati. Si ricordi che questo adempimento è quello che può compromettere la reputazione dell’impresa nei confronti dei propri clienti e, quindi, le eccezioni alla trasparenza devono essere attentamente vagliate.
In caso di comunicazione bisogna dettagliare il numero di interessati a cui è stata comunicata la violazione, il contenuto della stessa e il canale utilizzato (sms, posta cartacea o elettronica, altro da specificare).
Altre informazioni – Informazioni ulteriori riguardano l’eventuale segnalazione all’autorità giudiziaria o di polizia e gli eventuali coinvolgimenti di altri garanti, per esempio nel caso di interessati che si trovano nella Ue o fuori dello spazio economico europeo.
Addio ai vecchi modelli – Il provvedimento del 30 luglio 2019 manda in soffitta i precedenti modelli previsti in alcuni provvedimenti del Garante, e in particolare quelli contenuti nella pronuncia sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 ; nelle linee guida in materia di Dossier sanitario del 4 giugno 2015; nel provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014; nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013; nonché nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011.
I termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali indicati nei provvedimenti precedenti sono da considerarsi eliminati e sostituiti dal Gdpr e dal provvedimento del 30 luglio 2019 del Garante.
Fonte: Italia Oggi Sette del 2 settembre 2019 – Articolo di Antonio Ciccia Messina
Articolo completo: FederPrivacy