cosa fa il titolare del trattamento quando viene a conoscenza di una violazione
linee guida sulla notifica delle violazioni dei dati personali


Come indicato in precedenza, il regolamento impone al titolare del trattamento di notificare una violazione senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Questo solleva la questione relativa al momento in cui il titolare del trattamento può considerarsi “a conoscenza” di una violazione. Il Gruppo di lavoro ritiene che il titolare del trattamento debba considerarsi “a conoscenza” nel momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha portato alla compromissione dei dati personali.

Tuttavia, come già osservato, il regolamento impone al titolare del trattamento di attuare tutte le misure tecniche e organizzative di protezione adeguate per stabilire immediatamente se si è verificata una violazione e informare tempestivamente l’autorità di controllo e gli interessati. Afferma altresì che è opportuno stabilire il fatto che la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione e delle sue conseguenze e dei suoi effetti negativi per l’interessato. Il titolare del trattamento è quindi tenuto a prendere le misure necessarie per assicurarsi di venire “a conoscenza” di eventuali violazioni in maniera tempestiva in modo da poter adottare le misure appropriate.

Il momento esatto in cui il titolare del trattamento può considerarsi “a conoscenza” di una particolare violazione dipenderà dalle circostanze della violazione. In alcuni casi sarà relativamente evidente fin dall’inizio che c’è stata una violazione, mentre in altri potrebbe occorrere del tempo per stabilire se i dati personali sono stati compromessi. Tuttavia, l’accento dovrebbe essere posto sulla tempestività dell’azione per indagare su un incidente per stabilire se i dati personali sono stati effettivamente violati e, in caso affermativo, prendere misure correttive ed effettuare la notifica, se necessario.

 Esempi
1. In caso di perdita di una chiave USB contenente dati personali non crittografati spesso non è possibile accertare se persone non autorizzate abbiano avuto accesso ai dati. Tuttavia, anche se il titolare del trattamento non è in grado di stabilire se si è verificata una violazione della riservatezza, tale caso deve essere notificato, in quanto sussiste una ragionevole certezza del fatto che si è verificata una violazione della disponibilità; il titolare del trattamento si considera venuto “a conoscenza” della violazione nel momento in cui si è accorto di aver perso la chiave USB.

2. Un terzo informa il titolare del trattamento di aver ricevuto accidentalmente i dati personali di uno dei suoi clienti e fornisce la prova della divulgazione non autorizzata. Dato che al titolare del trattamento è stata presentata una prova evidente di una violazione della riservatezza, non vi è dubbio che ne sia venuto “a conoscenza”.

3. Un titolare del trattamento rileva che c’è stata una possibile intrusione nella sua rete. Controlla quindi i propri sistemi per stabilire se i dati personali ivi presenti sono stati compromessi e ne ottiene conferma. Ancora una volta, dato che il titolare del trattamento ha una chiara prova di una violazione non può esserci dubbio che sia venuto “a conoscenza” della stessa.

4. Un criminale informatico viola il sistema del titolare del trattamento e lo contatta per chiedere un riscatto. In tal caso, dopo aver verificato il suo sistema per accertarsi dell’attacco, il titolare del trattamento dispone di prove evidenti che si è verificata una violazione e non vi è dubbio che ne sia venuto a conoscenza.

Se una persona, un’organizzazione di comunicazione o un’altra fonte informa il titolare del trattamento di una potenziale violazione o se egli stesso rileva un incidente di sicurezza, il titolare del trattamento può effettuare una breve indagine per stabilire se la violazione si sia effettivamente verificata. Durante il periodo di indagine il titolare del trattamento non può essere considerato “a conoscenza”. Tuttavia, si prevede che l’indagine iniziale inizi il più presto possibile e stabilisca con ragionevole certezza se si è verificata una violazione; può quindi seguire un’indagine più dettagliata.

Dopo che il titolare del trattamento è venuto a conoscenza di una violazione soggetta a notifica, la stessa deve essere notificata senza ingiustificato ritardo e, ove possibile, entro 72 ore. Durante questo periodo il titolare del trattamento dovrebbe valutare il rischio probabile per le persone fisiche al fine di stabilire se è soddisfatto il requisito per la notifica e quali siano le azioni necessarie per far fronte alla violazione. Tuttavia, il titolare del trattamento potrebbe già disporre di una valutazione iniziale del rischio potenziale che potrebbe derivare da una violazione come parte di una valutazione d’impatto sulla protezione dei dati effettuata prima dello svolgimento del trattamento interessato. Tuttavia, tale valutazione può essere più generale rispetto alle circostanze specifiche di un’effettiva violazione e, pertanto, in ogni caso dovrà essere effettuata una valutazione aggiuntiva che tenga conto di tali circostanze. Per maggiori dettagli sulla valutazione del rischio, si rinvia alla sezione IV.

Nella maggior parte dei casi queste azioni preliminari dovrebbero essere completate subito dopo l’allerta iniziale (ossia quando il titolare o il responsabile del trattamento sospetta che si sia verificato un incidente di sicurezza che potrebbe interessare dati personali); dovrebbe richiedere più tempo soltanto in casi eccezionali.

Esempio
Una persona informa il titolare del trattamento di aver ricevuto un’e-mail da un soggetto che si fa passare per il titolare del trattamento, contenente dati personali relativi al suo (effettivo) utilizzo del servizio del titolare del trattamento, aspetto questo che suggerisce che la sicurezza del titolare del trattamento sia stata compromessa. Il titolare del trattamento conduce una breve indagine e individua un’intrusione nella propria rete e la prova di un accesso non autorizzato ai dati personali. Il titolare del trattamento si considera “a conoscenza” della violazione in questo momento e dovrà procedere alla notifica all’autorità di controllo a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento dovrà prendere le opportune misure correttive per far fronte alla violazione.

Di conseguenza, il titolare del trattamento dovrebbe disporre di procedure interne per poter rilevare una violazione e porvi rimedio. Ad esempio, per rilevare talune irregolarità nel trattamento dei dati, il titolare o il responsabile del trattamento può utilizzare alcune misure tecniche certe come il flusso di dati e gli analizzatori di registri, dai quali è possibile definire eventi e allerte correlando qualsiasi dato di registro. È importante che quando viene rilevata una violazione, la stessa venga segnalata al livello superiore appropriato di gestione, in maniera da poter essere trattata e, se del caso, notificata in conformità all’articolo 33 e, se necessario, all’articolo 34. Tali misure e meccanismi di segnalazione potrebbero essere dettagliati nei piani di intervento in caso di incidente del titolare del trattamento e/o nei dispositivi di governo societario. Ciò consentirà al titolare del trattamento di pianificare in maniera efficace e di stabilire chi ha la responsabilità operativa all’interno dell’organizzazione per la gestione di una violazione, nonché le modalità o l’opportunità di segnalare un incidente al livello gerarchico superiore, se del caso.

Il titolare del trattamento dovrebbe inoltre disporre di accordi con i responsabili del trattamento ai quali fa ricorso, i quali hanno a loro volta l’obbligo di notificare al titolare del trattamento eventuali violazioni (cfr. in appresso).

Sebbene spetti al titolare e al responsabile del trattamento mettere in atto misure adeguate per essere in grado di prevenire, reagire e affrontare una violazione, alcune misure pratiche dovrebbero essere prese in ogni caso:

• le informazioni relative a tutti gli eventi concernenti la sicurezza dovrebbero essere indirizzate a una persona responsabile o alle persone incaricate di gestire gli incidenti, stabilire l’esistenza di una violazione e valutare il rischio;
• il rischio per le persone fisiche a seguito di una violazione dovrebbe quindi essere valutato (probabilità di nessun rischio, di rischio o di rischio elevato) e le sezioni pertinenti dell’organizzazione dovrebbero esserne informate;
• se necessario si dovrebbe procedere alla notifica all’autorità di controllo ed eventualmente alla comunicazione della violazione alle persone fisiche interessate;
• allo stesso tempo, il titolare del trattamento dovrebbe agire in maniera tale da arginare la violazione e risolverla;

• la violazione dovrebbe essere documentata durante tutta la sua evoluzione.

Di conseguenza, dovrebbe essere chiaro che il titolare del trattamento è tenuto ad agire in relazione a qualsiasi allerta e stabilire se effettivamente si sia verificata una violazione. Tale breve periodo consente lo svolgimento di alcune indagini e dà al titolare del trattamento la possibilità di raccogliere prove e altre informazioni pertinenti. Tuttavia, dopo che il titolare del trattamento ha stabilito con ragionevole certezza che si è verificata una violazione, qualora siano soddisfatte le condizioni di cui all’articolo 33, paragrafo 1, è quindi necessario informare l’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore. Se il titolare del trattamento non agisce in maniera tempestiva e risulta evidente che si è verificata una violazione, la sua inazione potrebbe essere considerata una mancata notifica ai sensi dell’articolo 33.

L’articolo 32 chiarisce che il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello adeguato di sicurezza dei dati personali: la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale di queste misure.



Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni

Non condivideremo mai la tua email con nessuno.