Notifica data breach: l’EDPB aggiorna le linee guida sulle modalità, le tempistiche e la forma comunicativa.
Notifica data breach: aggiornate le linee guida
L’ European Data Protection Board ha aggiornato le linee guida in tema di notifica dei data breach. La prima versione delle Linee Guida fu approvata pochi mesi dopo l’entrata in vigore del GDPR. Col trascorrere del tempo, però, si sono resi necessari alcuni aggiustamenti sia per armonizzare le linee guida alla casistica sviluppatasi in vigenza di GDPR, sia per aggiornare queste indicazioni allo stato dell’arte della tecnologia.
Le linee guida 09/2022 sono state adottate il 28 Marzo 2023 dopo una consultazione pubblica aperta lo scorso ottobre. Con un attenzione particolare al meccanismo detto “one-stop-shop” per il quale si rende possibile la notifica di un data breach ad una sola autorità.
Nuove linee guida: quali novità
Le modifiche proposte in corso di consultazione pubblica e confluite nella versione finale riguardano il paragrafo 70 e successivi delle linee guida. Si concentrano sul caso del titolare del trattamento dati che non ha una sede all’interno dell’UE, ad esempio una azienda statunitense che non abbia una rappresentanza nell’Unione. Le modifiche stabiliscono che, in questo caso, la notifica di data breach vada inviata all’autorità garante di ogni stati membro i cui cittadini siano riguardati dalla violazione dei dati.
In breve, per questi soggetti, le nuove linee guida escludono esplicitamente l’applicazione del meccanismo “one-stop-shop”. La precedente versione, in questo caso, riteneva sufficiente la notifica del data breach all’autorità garante del paese presso cui risiedeva il rappresentante. Adesso invece la notifica dovrà avvenire verso le autorità garanti dei vari paesi, in base agli interessati coinvolti.
Questa modifica accende i riflettori sulle modalità di progettazione dei database. Ad un titolare del trattamento viene infatti richiesto, nell’immediato dell’attacco e entro le 72 ore come previsto dal GDPR, di avere chiara la “suddivisione geografica” degli interessati. Alcuni esperti esprimono perplessità anche in relazione alle modalità con cui tali informazioni dovranno essere acquisite e poi utilizzate per adempire a tali obblighi.
Notifica data breach: novità anche nel flusso operativo
Anche l’Allegato VII delle Linee Guida ha visto modifiche. In dettaglio nella parte che dettaglia i passaggi che gli operatori devono seguire in caso di data breach. Ecco il diagramma operativo aggiornato
Aggiunti nuovi esempi di data breach soggetti all’obbligo di notifica
Il testo aggiornato delle Linee Guida integra anche una nuova serie di esempi di data breach che sono soggetti all’obbligo di notifica. Lascia qui un pò di perplessità la maniera in cui viene concepito qui il registro dei data breach. Dalla lettura del testo emerge che il registro dei data breach deve diventare un elenco molto dettagliato di ogni violazione dei dati personali, indipendentemente dalla gravità e dai reali rischi ai quali espone gli interessati.
Per fare un esempio, le linee guida inseriscono nel novero dei data breache anche brevi interruzioni dell’energia elettrica che dovessero impedire, anche per qualche minuto, le attività di un call center che abbia, tra le sue funzioni, quello di contatto tra interessati e titolari per l’esercizio dei diritti. Sottolineiamo: le nuove linee guida non introducono, per questo caso, l’obbligo di notifica, ma la necessità di aggiornare il registro dei data breach.
Un altro esempio inserito nelle linee guida è quello della compromissione di dati già disponibili pubblicamente o, addirittura, criptati. Anche in questo caso viene previsto l’aggiornamento del registro dei data breach.
Le 72h da quando decorrono concretamente?
Infine le Linee Guida definiscono anche un altro aspetto che è molto concreto. L’art 33 del GDPR specifica:
” in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza” .
Ma, concretamente, da quando inizia il decorso delle 72h concesse al titolare del trattamento, o chi per lui, per notificare all’autorità garante e agli interessati un data breach?
L’EDPB anzitutto spiega che la previsione va inquadrata entro una visione precisa, quella per cui il titolare, avendo “adottato misure tecnico-organizzative a protezione dei dati”, viene rapidamente a conoscenza della violazione subita. Prendere tardivamente consapevolezza di una violazione è indice di scarsa o inadatta organizzazione aziendale in termini di conformità normativa e implementazione di misure tecniche a protezione dei dati.
Ecco che l’EDPB fornisce ai titolari, alcune “dritte”, elencando dei “momenti in cui il titolare viene a conoscenza” di una violazione. Ad esempio:
- il titolare riceve una email da un cliente che avviosa di aver ricevuto un contatto da un terzo che impersonava il titolare del trattamento. Si presume che quindi l’anonimo abbia avuto accesso ai dati del titolare stesso del trattamento;
- viene condotta una rapida indagine in grado di confermare l’allerta del cliente.
Questo è il “momento” e inizia il decorso delle 72 ore.
Valutazione del rischio a seguito di data breach
Dal momento in cui il titolare viene a conoscenza di un data breach deve, anzitutto, comprenderne le caratteristiche. L’EDPB specifica che il titolare deve verificare:
- se la violazione comporti un rischio per i diritti e le libertà degli interessati coinvolti;
- il tipo di violazione;
- la natura, la tipologia e la quantità di dati compromessi;
- le possibili conseguenze per gli interessati;
- il numero di interessati coinvolti ecc…
Comunicazioni agli interessati: le specifiche dell’EDPB
Per concludere, l’EDPB delinea anche alcune previsioni rispetto alla comunicazione che il titolare deve rivolgere agli interessati vittime di data breach.
- la comunicazione deve usare linguaggio semplice e chiaro specificando la natura della violazione, i dati di contato del DPO o altro, le possibili conseguenze, le misure messe in atto per minimizzare danni e rischi;
- l’avviso di data breach non deve essere confondibile con le comunicazioni ordinarie. Non è lecito quindi “nascondere” in una newsletter a cadenza regolare una comunicazione di questo tipo;
- mezzi diretti sono preferibili a comunicazioni indirette: una email è più adatta di un comunicato stampa o di una news sul blog aziendale. In ogni caso il titolare deve “moltiplicare” più possibile gli strumenti utilizzati per veicolare la comunicazione, così da garantire la massima diffusione.
Hai subito una violazione dei dati personali, ma non sai come comunicarla al Garante? Oppure non sai se, per il tipo di violazione subita, la comunicazione al Garante sia obbligatoria? Oppure ancora vuoi evitare di subirne in futuro?
Chiedilo a noi, ti aiuteremo passo passo!