19 February 2019

GDPR: indicazioni utili sulla gestione del data breach


Jacopo Liguori
Special counsel | Milan

Le numerose violazioni di dati (data breach) avvenute in molteplici settori ci portano a riflettere su uno dei temi più critici del nuovo regolamento privacy (GDPR): la gestione dell’obbligo, a carico di tutte le imprese, di notificare una violazione dei dati personali e porre in essere azioni di rimedio atte a mitigare i rischi per gli interessati. Il tema è oltretutto molto attuale. Basti osservare che nei primi sei mesi di applicazione del regolamento sono già 630 le notifiche effettuate al garante italiano. E se guardiamo alle altre giurisdizioni le notifiche sono ancor più numerose.

Il fenomeno non è però nuovo nel panorama italiano, in quanto l’obbligo di notifica sussisteva già per banche, telco, e società che trattano particolari dati (es dati biometrici e dossier sanitario).

Più in particolare il data breach riguarda qualunque accesso abusivo, perdita, o alterazione accidentale dei dati personali. Le linee guida del gruppo art 29 (WP250) – oggi European Data Protection Board – riportano diversi esempi.

In caso di violazione, l’impresa deve informare l’autorità garante entro 72 ore e, se il rischio è elevato, anche gli interessati.

Il data breach è piuttosto frequente ma non deve necessariamente essere interpretato come mancanza di compliance nell’impresa che lo subisce (anche sistemi molto sofisticati come quelli di Google o Facebook possono essere violati).

Se la violazione non può essere evitata al 100% diventa quindi fondamentale capire come muoversi qualora accada, minimizzando il rischio per gli interessati, i danni, la perdita di reputazione e le sanzioni. E ciò vale sia per le multinazionali strutturate sia per le piccole imprese in quanto qualunque impresa – indipendentemente dalle sue dimensioni – può trattare dati personali la cui violazione può comportare rischi per gli interessati.

In primo luogo occorre attrezzarsi a livello tecnico, per essere in grado di individuare tempestivamente la violazione (vi sono casi in cui non si è sempre in grado di accorgersi di un attacco informatico).

L’utilizzo di strumenti di protezione dei propri dati può inoltre contribuire ad evitare il rischio (es se vi è una perdita di dati crittografati potrebbe non essere necessaria la notifica agli interessati).

Ma è altrettanto importante dotarsi di precise ed efficaci procedure interne che permettano di reagire immediatamente e minimizzare i rischi per l’interessato ponendo in essere i cosiddetti “remediation plans” (si pensi ad aziende meno strutturate in cui, senza un processo da seguire, potrebbe essere estremamente difficile decidere come meglio operare).

Infine, personale addestrato e figure di coordinamento per la privacy, oltre al responsabile per la protezione dei dati (DPO) laddove presente, sono elementi decisivi per la gestione delle misure da intraprendere in caso di violazione. E a questo proposito occorre ricordare che anche i responsabili del trattamento svolgono un ruolo chiave nella gestione del processo (talvolta sono i primi a dover rilevare la violazione, si pensi a provider che gestiscono database). Precisi obblighi contrattuali di comunicazione e manleve per danni che potrebbero derivare dal mancato intervento devono certamente essere tenuti presente nelle negoziazioni dei data processing agreement.

Una procedura corretta e personale competente consente quindi di valutare al meglio se si tratti effettivamente di violazione, se vi siano rischi elevati che comportino l’obbligo di notificare non solo all’autorità ma anche all’interessato e quali misure e rimedi intraprendere in seguito alla violazione. Si pensi al danno di immagine di una impresa che notifica agli interessati una violazione di dati che si rivela priva di rischi o ancora peggio una violazione notificata troppo tardi che ha provocato rischi irreversibili in quanto non correttamente gestita.

A titolo di esempio, con riferimento ad un recente caso, è utile sottolineare come il titolare del trattamento fosse sicuramente dotato di procedure ed avesse agito tempestivamente per gestire la violazione notificando la stessa non solo al garante ma anche ad alcuni degli interessati per i quali si era ravvisato un rischio elevato. Tuttavia, una volta ricevuta la notifica, il garante ha imposto ulteriori misure al titolare del trattamento ritenendo necessario informare tutti gli interessati.

L’autorità, richiamando esplicitamente il GDPR, ha ritenuto che la violazione dei dati personali riguardanti il resto degli interessati rappresentasse comunque un possibile rischio elevato per i loro diritti e le loro libertà.

La violazione di tali dati, garantendo un’identificazione semplice e rapida degli interessati, rendeva questi soggetti facili bersagli per potenziali e piuttosto prevedibili attività illecite da parte di terzi. Tra queste attività, gli interessati in questione avrebbero potuto subire un furto o un abuso della loro identità, o essere soggetti ad attacchi di phishing.

Come nota conclusiva, si ricorda l’importanza di effettuare periodicamente test di vulnerabilità per rafforzare i propri sistemi e revisioni delle procedure interne per rimediare eventuali inefficienze riscontrate nella gestione di precedenti violazioni.

Jacopo Liguori Special counsel

Category: Article