Revisionate le Linee Guida sulla Notifica di Data Breach

Posted on 12 aprile 2018 by Paola Generali in 2018, News

Il WP29 ha aggiornato le rilevanti Linee Guida in materia di Data Breach, chiarendo  ciò che a riguardo è contenuto all’interno del GDPR 679/2016.

Il Working Party dispone anzitutto che elemento chiave di ogni politica sulla sicurezza sia  quello di essere in grado, quando possibile, di prevenire una violazione e nel caso in cui questa avvenga essere in grado di reagire prontamente.

Le precisazioni introdotte dalla revisione delle Linee Guida concernono le seguenti macro tematiche:

  • Tipologie di Data Breach

Il WP29 chiarisce che rientra nella categoria dei Data Breach anche un incidente sulla sicurezza dal quale deriva una perdita di disponibilità dei dati non permanente, ma circoscritta a un limitato periodo temporale,  (ad esempio la perdita di accesso temporanea ai dati), in quanto potrebbe comunque comportare un significativo impatto sui diritti e le libertà degli individui.

In particolare il Gruppo di lavoro suggerisce che anche la violazione che comporta la perdita temporanea di disponibilità dovrebbe essere documentata (così come nel caso di perdita o distruzione permanenti di dati personali).

Viene però precisato che, l’indisponibilità di un dato personale dovuta dalla manutenzione programmata del sistema in corso, non può essere considerata una “violazione della sicurezza” ai sensi del GDPR.

  • Possibili conseguenze del Data Breach

Il Gruppo di lavoro ricorda che in alcuni casi la mancata notifica di una violazione potrebbe rivelare l’assenza di misure di sicurezza esistenti o l’inadeguatezza delle misure di sicurezza esistenti.

Facendo richiamo alle linee guida sulle sanzioni amministrative, il WP 29 dichiara che l’Autorità Garante è in grado di applicare le sanzioni amministrative a un livello efficace, proporzionato e dissuasivo, rispetto alla violazione riscontrata e che pertanto potrà emettere sanzioni per la mancata notifica o comunicazione della violazione (articoli 33 e 34), da un lato, e l’assenza di (adeguate) misure di sicurezza (articolo 32) dall’altro, in quanto si tratta di due infrazioni separate.

  • Quando notificare all’Autorità

Come  indicato in precedenza, una volta che il titolare del trattamento è venuto a conoscenza di un data breach, è necessario notificare la violazione senza indebito ritardo e, laddove possibile, non oltre 72 ore. Durante questo periodo, il titolare del trattamento dovrebbe valutare il rischio probabile per gli individui al fine di determinare se il requisito per la notifica è stato attivato, nonché  le azioni necessarie per affrontare la violazione.

Il WP29 chiarisce che il Titolare che abbia già predisposto una valutazione iniziale del potenziale rischio che potrebbe derivare da una violazione, come parte di un DPIA,  sia comunque tenuto a valutare le circostanze specifiche di ogni effettiva violazione avvenuta, e quindi in ogni caso dovrà essere effettuata una valutazione aggiuntiva che ne tenga conto.

Viene  raccomandata,  in particolare, la tenuta della documentazione riguardante il Data Breach in modo regolare e puntuale, anche durante il suo sviluppo, così da raccogliere le informazioni necessarie e dettagli rilevanti. Queste azioni preliminari dovrebbero essere completate subito dopo la segnalazione iniziale, vale a dire quando il titolare o il responsabile sospettano che ci sia stato un incidente di sicurezza che potrebbe comportare dati personali.

  • Contitolari

Le revisionate linee guida dedicano un breve paragrafo alla figura dei Contitolari del trattamento.

Il WP29 raccomanda che le disposizioni contrattuali tra i contitolari includano disposizioni che determinano quale contitolare assumerà l’incarico o sarà responsabile della conformità agli obblighi di notifica di violazione del GDPR.

  • Obblighi del Responsabile

Il WP29 chiarisce che il Responsabile del trattamento non sia tenuto a valutare la probabilità di rischio derivante da una violazione prima di notificare al Titolare del trattamento; è infatti quest’ultimo a dover compiere tale valutazione diventando consapevole della violazione. Viene tuttavia raccomandato  che il responsabile avvisi tempestivamente il Titolare, con ulteriori informazioni sulla violazione, anche fornite in fasi, man mano che ulteriori dettagli diventano disponibili.

Il Responsabile deve solo stabilire se si è verificata una violazione e quindi informare il Titolare. Il titolare usa il Responsabile per raggiungere i suoi scopi; pertanto, in linea di principio, il titolare del trattamento dovrebbe essere considerato “consapevole” una volta che il Responsabile lo ha informato della violazione.

Il Gruppo di lavoro precisa che  il contratto tra il Titolare e il Responsabile del trattamento dovrebbe prevedere i requisiti che quest’ultimo debba rispettare ai fini di una notifica tempestiva al primo, a supporto degli obblighi del titolare del trattamento di riferire all’Autorità Garante entro 72 ore.

  • Notifica in fasi

Il WP29 precisa che, anche se le modalità di ricezione delle informazioni che il Titolare dovrà fornire nelle fasi successive alla prima segnalazione debbano essere concordate con l’Autorità Garante, questo possa comunque procurarle al Garante in qualsiasi altro momento, qualora venisse a conoscenza di ulteriori dettagli rilevanti sulla violazione.

  •  Violazioni transfrontaliere e violazioni presso stabilimenti non UE
  •  Violazioni transfrontaliere

Il WP 29 precisa che, in caso di violazione di un trattamento transfrontaliero, la notifica debba essere indirizzata all’Autorità di controllo capofila, che non necessariamente coinciderà con quella presente nel luogo in cui si trovano gli interessati o in cui si è verificata la violazione.

Se il Titolare del trattamento ha dubbi sull’identità dell’Autorità di controllo capofila, deve, come minimo, notificare all’Autorità Garante del luogo in cui si è verificata la violazione.

  • Violazioni presso stabilimenti non UE

Il WP 29 precisa che anche il Titolare (o il Responsabile)non stabilito nell’UE, che effettua un trattamento di dati che riguardano soggetti interessati che si trovano nel territorio dell’Unione è vincolato dagli obblighi di notifica di cui agli articoli 33 e 34.

In tali casi, dopo aver designato un suo Rappresentante nell’UE, qualora dovesse verificarsi un data breach dovrà inviare la notifica della violazione  all’Autorità Garante dello Stato membro in cui lo stesso è stabilito.

  • Comunicazione e Identificabilità degli interessati

Le linee guida chiariscono la circostanza in cui il Titolare del trattamento si trovi nella impossibilità di contattare il soggetto interessato dal Data Breach, in quanto non dispone delle informazioni necessarie per riuscire a mettersi con questo in contatto.  Il WP29 precisa che in tale particolare circostanza il titolare dovrebbe informare l’individuo non appena sia ragionevolmente possibile farlo (ad es. qualora il singolo esercitando il proprio diritto, ai sensi dell’articolo 15, di accedere ai dati personali, fornisca al titolare del trattamento le informazioni supplementari necessarie per contattarlo).

Inoltre il titolare che ha implementato opportune misure tecniche e organizzative per prevenire e proteggere i dati personali dalle violazioni, potrebbe non essere tenuto a comunicare il data breach ai soggetti interessati.

La pseudonimizzazione, ad esempio, quando opportunamente implementata, può essere in grado di  ridurre la probabilità che gli individui vengano identificati in caso di violazione. Tuttavia, essa non è da sola considerabile come una tecnica che renda i dati inintelligibili. In proposito il WP29  cita, quando implementate a regola d’arte, la crittografia e la tokenizzazione dei dati, tenendo comunque presente che qualora  l’Autorità stabilisca che la decisione di non notificare gli interessati non sia fondata, questa potrà prendere in considerazione l’utilizzo dei poteri e delle sanzioni disponibili.

  • Accountability e documentazione del Data Breach

Il WP 29 punta l’accento sul principio della responsabilizzazione. In particolare precisa come  registrare le violazioni non notificabili, così come quelle notificabili, è da far risalire tra gli obblighi del titolare del trattamento ai sensi dell’articolo 24, e che l’Autorità Garante possa chiedere di avere visione di tali registri.

Nel GDPR non è specificato un periodo di conservazione per tale tipologia di documentazione. Laddove tali registrazioni contengano dati personali, spetterà al titolare del trattamento determinare il periodo appropriato di conservazione in conformità ai principi in relazione al trattamento dei dati personali e soddisfare una base legale per svolgere il trattamento, tenendo conto altresì che tale documentazione potrebbe essere idonea prova di conformità ai requisiti del Regolamento e più in generale, al principio di responsabilità del Titolare. Chiaramente, se i “Data Breach record” non contengono dati personali, il principio di limitazione della conservazione del GDPR non si applica.

  • Ruolo del DPO

Viene precisato come, in termini di documentazione delle violazioni, il Titolare del trattamento o il responsabile del trattamento potrebbero richiedere il parere del proprio responsabile della protezione dei dati in merito alla struttura, all’impostazione e all’amministrazione di tale documentazione.  Al DPO potrebbe anche essere affidato il compito di mantenere tali registrazioni.

Questi fattori implicano che il DPO dovrebbe svolgere un ruolo chiave nell’assistenza alla prevenzione delle violazioni, fornendo consulenza e monitorando la conformità, nonché nel corso di notifica all’Autorità Garante e durante qualsiasi successiva indagine da parte della stessa.

In tale ottica, il WP29 raccomanda che il DPO  sia tempestivamente informato dell’esistenza di una violazione e sia coinvolto durante la gestione delle violazioni e il processo di notifica.

  • Obblighi di notifica in base ad altri strumenti giuridici

Il WP29 fornisce delucidazioni in merito agli obblighi di notifica cui un Titolare del trattamento, potrebbe essere tenuto, in ottemperanza non solo ai requisiti del GDPR, ma anche di obblighi di notifica di incidenti di sicurezza ai sensi di altre normative.

Tali obblighi di notifica possono variare a seconda degli Stati membri, ma le Linee Guida presentano a titolo esemplificativo indicazioni di alcuni obblighi di notifica  e in che modo questi si correlano con il GDPR, tra cui:

  • Il Regolamento EU 910/2014 (eIDAS) sull’ identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno. Esso prevede che i providers di servizi fiduciari debbano notificare al loro organo di controllo una violazione di sicurezza o una perdita di integrità che ha un impatto significativo sul servizio fiduciario fornito o sui dati personali ivi mantenuti. Laddove applicabile, vale a dire laddove tale violazione o perdita costituisca anche una violazione dei dati personali ai sensi del GDPR, il prestatore di servizi fiduciari dovrebbe anche notificare all’autorità di vigilanza.
  • La Direttiva UE 2016/1148 (Direttiva NIS) relativa alle misure per un elevato livello comune di sicurezza della rete e dei sistemi di informazione in tutta l’Unione. Essa richiede agli operatori di servizi essenziali e ai fornitori di servizi digitali di notificare gli incidenti di sicurezza alle loro autorità competenti. Laddove tali incidenti siano o diventino violazioni dei dati personali sotto il GDPR , gli operatori saranno tenuti a notificare all’Autorità Garante separatamente rispetto ai requisiti di notifica degli incidenti “NIS”. ESEMPIO: Un fornitore di servizi cloud che notifica una violazione ai sensi della direttiva NIS può anche aver bisogno di notificare a un Titolare del trattamento, se questo include una violazione dei dati personali. Analogamente, un prestatore di servizi fiduciari che notifica a eIDAS può anche essere tenuto a notificare all’autorità competente per la protezione dei dati in caso di violazione.
  • Direttiva 2009/136 / CE (direttiva sui diritti dei cittadini) e regolamento 611/2013 (regolamento sulla notifica di violazione). Essa dispone che i fornitori di servizi di comunicazione elettronica accessibili al pubblico nel contesto della direttiva 2002/58 / CE notificano le violazioni alle autorità nazionali competenti.
    I titolari dovrebbero anche essere a conoscenza di eventuali ulteriori obblighi legali, medici o di notifica professionale previsti da altri regimi applicabili.

http://ec.europa.eu/newsroom/article29/

Tagged as

Posted by Paola Generali

Managing Director Getsolution

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *