L’indagine annuale del Global Privacy Enforcement Network, si è concentrata sulla gestione dei data breach da parte di organismi pubblici e privati; l’indagine sweep 2019 ha coinvolto 16 Autorità per il trattamento dei dati personali, tra cui l’Autorità italiana. Dall’indagine, che ha preso in considerazione diversi aspetti della violazione dei dati personali, tra cui la gestione delle segnalazioni/notifiche e l’implementazione di misure volte a prevenire il ripetersi della violazione, è emerso che, sulla gestione dei data breach c’è una conoscenza approfondita, ma limitata a pochi organismi.

IL FATTO

L’indagine sweep annualmente condotta dal Global Privacy Enforcement Network, si è concentrata, per l’anno 2019, sulla gestione dei data breach da parte dei titolari del trattamento. Il Global Privacy Enforcement Network è un network globale che comprende oltre 60 Autorità per la protezione dei dati personali di 39 Paesi, nata nel 2010 in seguito alle raccomandazioni dell’Ocse (Organizzazione per la cooperazione e lo sviluppo economico); tale network intende promuovere la cooperazione fra le Autorità in un contesto sempre più globale e interconnesso. Il Global Privacy Enforcement Network ha preso in considerazione la gestione dei data breach poiché in considerazione della mole di dati trattati dai diversi titolari del trattamento, oggi è inevitabile che si possano verificare violazioni dei dati personali c.d. data breach. L’indagine sweep 2019 ha coinvolto le Autorità per la protezione dei dati personali di 16 Paesi, tra cui l’Italia e ha valutato la gestione delle violazioni di dati personali con riferimento alle fasi di segnalazione/notifica che relative all’adozione di misure idonee a prevenire il verificarsi della medesima violazione.

A titolo esemplificativo, costituiscono violazione di dati personali l’accesso o l’acquisizione di dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici (es. pc o cellulare aziendale) contenenti dati personali, la deliberata alterazione di dati personali, l’impossibilità di accedere ai dati per cause esterne quali virus, malware, ecc. ovvero incendi o altre calamità, la divulgazione non autorizzata di dati personali. Il furto di un pc assegnato ad un dipendente contenente dati personali (ad esempio dati relativi alla gestione del rapporto con clienti o dipendenti), può costituire una violazione, in particolare ove la società non abbia dotato i propri dispositivi informatici di misure di sicurezza adeguate a prevenire l’accesso non autorizzato ai dati (es. cifratura dei dati, misure strong autentication, ecc.).

L’art. 33 del Regolamento UE 2016/679, in materia di violazione di dati personali stabilisce l’obbligo del titolare di notificare eventuali violazioni all’autorità di controllo competente senza ritardo e, ove possibile, entro le 72 ore dal momento in cui il titolare stesso ne sia venuto a conoscenza. Il titolare può omettere la comunicazione solo ove ritenga improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. La notifica, a norma del Regolamento UE 2016/679, deve indicare alcune informazioni relative alla natura della violazione e tipologia e il volume di dati e di interessati coinvolti; la notifica deve inoltre descrivere le probabili conseguenze della violazione e le misure adottate dal titolare per prevenire il verificarsi di una nuova violazione (o, quantomeno, le misure di cui si propone l’adozione).

Il Garante italiano per la protezione dei dati personali ha predisposto diversa documentazione esplicativa in merito ai data breach che può essere utile per chiarire gli aspetti principali da tenere in considerazione nel momento in cui si valuta l’opportunità di procedere alla notifica di una violazione dei dati personali. Sul sito del Garante sono inoltre disponibili tutte le informazioni su come procedere a tale notifica nonché un modello di notifica predisposto dal Garante, al fine di guidare il titolare nella compilazione della segnalazione, garantendo che tutti i requisiti della notifica previsti dall’art. 33 del Regolamento UE 679/2016 siano rispettati. La notifica della violazione può essere trasmessa al Garante dal titolare del trattamento tramite posta elettronica certificata ovvero ordinaria. In aggiunta a tale notifica al Garante, il Regolamento UE 679/2016 prevede l’obbligo, per il titolare, di comunicare la violazione all’interessato o gli interessati coinvolti, senza ritardo, qualora la violazione possa presentare un rischio per i diritti e le libertà delle persone fisiche. Infine, giova ricordare che, nel caso in cui il Garante rilevi una violazione del Regolamento può prescrivere misure correttive e sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

Considerata la mole di trattamenti di dati personali svolti quotidianamente da titolari del trattamento pubblici e privati, è di fondamentale importanza porre particolare attenzione alla gestione delle violazioni di dati personali, anche a tutela degli interessati i cui dati possono essere oggetto di violazione.

L’indagine sweep 2019 ha visto la somministrazione di questionari a 1145 soggetti pubblici e privati ma solo 258 ha fornito risposte puntuali; tra i motivi della limitata risposta ricevuta, gli organizzatori dell’indagine hanno ipotizzato il timore dell’avvio di eventuali indagini da parte delle autorità competenti alla luce delle risposte fornite al questionario.

L’indagine sweep ha fatto emergere positivamente che l’84% dei soggetti intervistati ha confermato di aver previsto l’individuazione un’equipe o un gruppo per la gestione delle violazioni di dati personali e delle relative segnalazioni. Il 75% ha adottato procedure per la gestione dei data breach che prevedono attività di contenimento, valutazione e analisi dei rischi associati alla violazione dei dati.

Il 65% degli organismi intervistati, dispone di procedure buone o eccellenti per prevenire il verificarsi di ulteriori violazioni. Tuttavia, nel 18% dei casi, in merito alle procedure predisposte per la gestione dei data breach non ha saputo fornire risposte sufficienti: ciò significa che sarà necessario fare maggiore chiarezza in merito alle politiche da seguire per assicurare l’adozione delle misure fondamentali per rispondere ad una violazione dei dati. Alcuni organismi hanno risposto di non avere politiche interne in caso di violazione di dati ma di fare riferimento agli orientamenti forniti dalle competenti autorità per la protezione dei dati.

La quasi totalità delle organizzazioni coinvolte nell’indagine conosce il quadro giuridico di riferimento, compresi i criteri e le tempistiche per tale notifica.

Quanto al monitoraggio della performance interna con riguardo agli standard in materia di protezione dei dati oltre il 30% non ha predisposto e implementato programmi per l’autovalutazione e la conduzione di audit interni. Infine, circa il 45% conserva registri aggiornati di tutte le violazioni (anche potenziali).

Uno spunto interessante è stato fornito da un organismo intervistato che ha descritto il proprio sistema di valutazione delle violazioni, spiegando di aver implementato un meccanismo di rating a tre colori che tiene conto del numero di dati violati, della sensibilità delle informazioni, del disagio causato, del contenimento o non-contenimento della violazione, della possibilità di recuperare i dati e dell’eventuale applicazione di cifratura.

PERCHÉ È IMPORTANTE:

L’indagine sweep 2020 fa emergere il quadro della conoscenza delle misure volte a gestire i data breach con riferimento a titolari situati in 16 Paesi diversi, offrendo a tutti i titolari del trattamento alcuni utili spunti di riflessione. In particolare, in considerazione della notevole probabilità del verificarsi di data breach, è fondamentale che i titolari si dotino di misure tecniche e organizzative volte a proteggere i dati personali da eventi che potrebbero comprometterne l’integrità e la disponibilità, con conseguenze per i diritti e le libertà degli interessati. È inoltre imprescindibile dotarsi di procedure interne efficaci per il rilevamento, la segnalazione e la valutazione delle potenziali violazioni di dati personali, al fine di gestire in modo tempestivo qualunque evento avverso che possa comportare il verificarsi di un data breach e adempiere alle prescrizioni previste dal Regolamento UE 2016/679.