Il Garante per la protezione dei dati personali torna a parlare di “data breach” e degli obblighi che incombono in capo ai Titolari del trattamento a fronte di tali violazioni dei dati personali.

IL FATTO:

All’indomani della pubblicazione del nuovo Regolamento Privacy UE (che prevede precisi obblighi di segnalazione delle violazioni) il Garante ripercorre i provvedimenti adottati nel corso degli anni volti ad imporre ai Titolari che operano in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati.

Evidenzia l’Autorità come i dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità, con conseguenti pericoli significativi per la privacy degli interessati cui si riferiscono i dati.

In particolare le regole specifiche dettate dal Garante hanno riguardato:

• le società telefoniche e internet provider : il provvedimento generale stabilisce l’obbligo di comunicare le violazioni di dati personali in capo fornitori di servizi telefonici e di accesso a Internet (e non, ad esempio, ai siti internet che diffondono contenuti, ai motori di ricerca, agli internet point, alle reti aziendali), entro 24 ore dalla scoperta dell’evento, fornendo al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione (attraverso l’utilizzo di uno specifico un modello di comunicazione disponibile sul sito dell’Autorità);
• i Titolari che trattano sistemi biometrici: con il provvedimento generale prescrittivo in tema di biometria il Garante ha dettato un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per mantenere alti livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici, semplificando inoltre alcuni adempimenti. In tale contesto l’Autorità ha disposto che, anche al fine di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o gli incidenti informatici (“data breaches“) che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi, debbano essere comunicati da chi detiene i dati al Garante entro 24 ore dalla scoperta, così da consentire di adottare opportuni interventi a tutela delle persone interessate.
• le strutture sanitarie, nel contesto della gestione del “dossier sanitario elettronico”: con le Linee guida sul dossier sanitario elettronico l’Autorità prescrive maggiori tutele per i dati dei pazienti, più trasparenza e obbligo per le strutture sanitarie di comunicare immediatamente all’Autorità i cosiddetti “data breach” (violazioni o incidenti informatici, come attacchi, accessi abusivi, azioni di malware, perdita, furto), che possano avere un impatto significativo sui dati (clicca qui per una sintesi del provvedimento)
• le pubbliche amministrazioni che intendono mettere a disposizione delle altre P.A. gli accessi telematici alle proprie banche dati oltre ad adottare le misure di sicurezza fissate dal Garante con il provvedimento generale del 2 luglio 2015. Gli istituti e le scuole di ogni ordine e grado, le Regioni e le Province, anche quelle autonome, i Comuni, le aziende e gli enti del Servizio sanitario nazionale e gli enti pubblici non economici devono comunicare al Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni o gli incidenti informatici (i cosiddetti “data breach“) che possono avere un impatto significativo sui dati personali contenuti nelle banche dati (le comunicazioni devono essere redatte secondo il modello predisposto dal Garante e inviate via mail all’indirizzo  pa@pec.gpdp.it.).

Clicca qui per una sintesi schematica dei provvedimenti.

Con riguardo al nuovo Regolamento Privacy – che sarà applicabile a decorrere dal 25 maggio 2018 – l’obbligo di notifica al Garante della violazione di dati personali (definita quale “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”) diventa invece un obbligo generale per tutti i Titolari del trattamento, indipendentemente dal fatto che rientrino nelle casistiche sopra richiamate dai provvedimenti specifici del Garante italiano.

In caso di violazione dei dati personali, il Titolare deve quindi notificare la violazione al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica non sia effettuata entro 72 ore, è accompagnata dai motivi del ritardo. La notifica deve almeno:

1. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
2. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
3. descrivere le probabili conseguenze della violazione dei dati personali;
4. descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Il Titolare deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio e mettere su richiesta a disposizione del garante la relativa documentazione.
Inoltre, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare deve comunicare la violazione anche all’interessato, senza ingiustificato ritardo, descrivendola con un linguaggio semplice e chiaro (salve circostanze al verificarsi delle quali la comunicazione è esclusa).

PERCHE’ E’ IMPORTANTE:

La protezione delle banche dati e degli interessati del trattamento passa anche attraverso l’obbligo di segnalazione delle violazioni di dati personali, sia nei confronti del Garante, che nei confronti degli interessati.

I Titolari del trattamento dovranno quindi adottare idonee misure, tecniche ed organizzative, anche funzionali alla gestione del nuovo obbligo previsto dal Regolamento Privacy.