Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Comunicazione del data breach agli interessati: regole di trasparenza e collaborazione

La gestione delle violazioni dei dati ingenera tensioni e incertezze nelle aziende coinvolte, anche per quanto riguarda il tenore della comunicazione del data breach agli interessati. Ecco una breve guida ragionata per aiutare il titolare del trattamento in questo adempimento particolarmente delicato

17 Dic 2019
Z
Rodolfo Zani

Avvocato, Studio Associato Servizi Professionali Integrati Fieldfisher Global, DPO dell'Ordine degli Avvocati di Verbania


Uno degli adempimenti più delicati del GDPR è sicuramente la gestione di una violazione di dati personali con conseguente notifica al Garante Privacy e comunicazione del data breach agli interessati.

Intanto la notifica dei data breach all’Autorità di controllo è in aumento anche in Italia, come confermato dal report pubblicato dal Garante per la protezione dei dati personali a fine ottobre: le notifiche da gennaio a settembre 2019 sono state 890 (circa 100/mese) contro un dato di 630 dal 25 maggio a fine 2018 (circa 90/mese)[1].Tuttavia, siamo ancora ben lontani da altri Paesi Europei dove le notifiche sono nell’ordine di oltre 10.000 all’anno.

Recenti documenti come il rapporto Kaspersky[2] e il 2° rapporto sulle minacce informatiche in Italia di Carbon Black [3](significativo il dato che il 93% delle aziende intervistate dichiara di aver subito un attacco informatico negli ultimi 12 mesi) lasciano intendere che le violazioni sono molto più numerose ma le aziende tendono a non notificarle per evitare eventuali sanzioni o la divulgazione pubblica dell’accaduto e i relativi danni reputazionali.

L’attualità del tema è rimarcata dal fatto che la gestione dei data breach da parte di soggetti pubblici e privati è stata oggetto in questi mesi della c.d. Privacy Sweep 2019[4], un’indagine conoscitiva internazionale.

Le Autorità di protezione dati hanno svolto le attività di approfondimento coordinate dal Global Privacy Enforcement Network (GPEN) prendono in esame i processi e le procedure adottati per la gestione delle violazioni dai titolari dei trattamenti che operano sui rispettivi territori nazionali.

Il Garante italiano ha concentrato la propria attività sul settore dell’e-commerce attraverso l’analisi di un campione significativo di aziende. I risultati dell’indagine saranno resi noti nel corso del mese di novembre.

La criticità della gestione della violazione di dati

L’esperienza di questo primo periodo di applicazione del GDPR, conferma come la gestione delle violazioni dei dati sia un elemento che ingenera tensioni e incertezze nelle aziende coinvolte, non solo per quanto riguarda l’analisi del rischio e la conseguente decisione circa la necessità di notifica all’Autorità e di comunicazione agli interessati, ma anche per quanto riguarda il tenore della comunicazione del data breach agli interessati stessi, in ragione del timore circa le possibili ricadute di tale informazione (in particolare in termini di perdita di fiducia da parte della clientela con le conseguenze del caso).

Com’è noto il Garante ha reso disponibile il modello per la notifica delle violazioni dei dati personali, modificato e implementato[5] nel luglio scorso, che tiene conto delle indicazioni previste dall’art. 33 del GDPR e delle Linee Guida sulla notifica delle violazioni di dati personali adottate dal Gruppo di Lavoro Articolo 29 (anche “WP29”)[6].

I titolari del trattamento interessati dal data breach sono pertanto guidati da tale schema che prevede le informazioni da trasmettere all’Autorità.

La comunicazione del data breach agli interessati

Per la predisposizione di una corretta informazione agli interessati occorrerà tenere in considerazione in primis le disposizioni che disciplinano tale adempimento. Partendo dall’art. 34 del GDPR che richiede al titolare del trattamento di comunicare la violazione all’interessato senza ingiustificato ritardo, descrivendo con un linguaggio semplice e chiaro la natura della violazione dei dati personali e indicando almeno i dati di contatto del DPO o di altro punto presso cui ottenere più informazioni, le probabili conseguenze della violazione, le misure adottate dal titolare o quelle che adotterà per porre rimedio alla violazione e anche, se del caso, per porre rimedio ai possibili effetti negativi.

Sempre l’art. 34 precisa che qualora la comunicazione richiederebbe sforzi sproporzionati il titolare procede a una comunicazione pubblica, o a una simile misura per informare gli interessati con analoga efficacia.

Il tema è trattato nel considerando 86 del GDPR che evidenzia come “la comunicazione dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con l’autorità di controllo e nel rispetto degli orientamenti impartiti da questa o altra autorità competente”.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Da precisare che l’art. 34 conferma che nel caso in cui il titolare non abbia comunicato la violazione dei dati agli interessati, l’Autorità può richiedere che vi provveda.

Le modalità operative della comunicazione del data breach agli interessati e l’adeguatezza della stessa sono state affrontate dal WP29 nelle sopra citate linee guida che specificano come nel “comunicare una violazione agli interessati si devono utilizzare messaggi dedicati che non devono essere inviati insieme ad altre informazioni, quali aggiornamenti regolari, newsletter o messaggi standard. Ciò contribuisce a rendere la comunicazione della violazione chiara e trasparente”.

Il WP29 ha precisato che sono metodi trasparenti di comunicazione la messaggistica diretta (ad esempio messaggi di posta elettronica, SMS, messaggio diretto), banner o notifiche su siti web di primo piano, comunicazioni postali e pubblicità di rilievo sulla stampa.

Al contrario, una semplice comunicazione all’interno di un comunicato stampa o di un blog aziendale non costituirebbe un mezzo efficace per comunicare una violazione all’interessato.

Il titolare, quindi, deve scegliere un mezzo che massimizzi la possibilità di comunicare correttamente le informazioni a tutte le persone interessate il che potrebbe comportare, a seconda delle circostanze, la necessità di “utilizzare diversi metodi di comunicazione, anziché un singolo canale di contatto”.

Comunicazione del data breach agli interessati: il Garante italiano

L’Autorità italiana, nella sezione del sito istituzionale relativa ai data breach, richiama le disposizioni sopra indicate ribadendo che la violazione deve essere comunicata a tutti gli interessati utilizzando i canali più idonei.

Anche nel “Manuale per RDP nei settori pubblici e para pubblici[7], sempre pubblicato sul sito dell’Autorità, nel citare i compiti del RPD nella gestione del data breach, si richiamano le stesse disposizioni confermando che “il titolare dovrebbe fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative di una violazione dei dati ad esempio reimpostando le password in caso di compromissione delle credenziali di accesso”.

Il tema delle modalità e del contenuto delle informazioni da inviare agli interessati nel caso di violazione dei dati è stato affrontato dal Garante in quest’ultimo anno in due specifici provvedimenti[8].

Nel primo caso, a fronte di una violazione che aveva coinvolto i dati di oltre 700.000 clienti di un Istituto di credito, la banca aveva deciso di contattare esclusivamente quelli ai quali era stata sottratta anche la password (circa 10.000) e di comunicare il data breach con una nota stampa – ritenuta generica – richiamata nel sito web. Con il provvedimento, il Garante ha ingiunto alla banca di contattare direttamente tutte le oltre 700.000 persone coinvolte suggerendo i possibili rimedi.

Nel secondo caso, si è trattato di un accesso fraudolento alle caselle di posta di circa un milione e mezzo di utenti di un fornitore di servizi di posta elettronica. Gli interessati sono stati avvisati con una comunicazione sul sito web e conseguente invito a reimpostare la propria password.

Nonostante il titolare avesse – successivamente – inviato anche una e-mail agli interessati, la stessa è stata ritenuta dall’Autorità carente e non in linea con quanto previsto dalla normativa. Pertanto, alla Società è stato ingiunto di predisporre ed inviare una nuova comunicazione fornendo specifiche indicazioni agli interessati.

La procedura di gestione del data breach

Considerata la normativa ed i provvedimenti citati, è palese che nel caso di violazione di dati personali, il titolare dovrà inviare senza reticenze e ambiguità e senza indebito ritardo, idonea segnalazione agli interessati, al fine di temperarne il rischio di pregiudizio.

Cosa può fare quindi il titolare per essere tempestivo e conforme al GDPR nell’ informazione agli interessati? Il suggerimento è quello di prevedere e predisporre un modello di comunicazione e individuare una serie di passaggi, con brevi note di indirizzo, nella procedura aziendale per la gestione del data breach. Eccole nel dettaglio.

A chi inviare la comunicazione

A tal proposito pare importante ribadire – tenuto conto che spesso il titolare sottovaluta il tema ritenendo che “in fin di conti si tratta di un interessato rispetto ai milioni di clienti della Società” – che la violazione può riguardare una, poche oppure diverse migliaia di persone fisiche.

In ogni caso è la valutazione del rischio per gli interessati che discrimina la necessità dell’invio della comunicazione e delle relative modalità. Una violazione può avere ripercussioni gravi anche su una sola persona fisica a seconda della natura dei dati e del contesto nel quale questi sono stati compromessi (si pensi ad esempio un dato sanitario o bancario). È il Titolare che ha l’onere della valutazione. Tuttavia, nei casi particolarmente problematici, può chiedere all’Autorità consigli sull’opportunità di informare gli interessati.

Quando inviare la comunicazione

La comunicazione del data breach agli interessati, per la necessità di attenuare il rischio di danno e al fine di aiutare le persone interessate a prendere gli opportuni provvedimenti per scongiurare tale rischio, deve essere tempestiva e comunque non appena ragionevolmente possibile[9].

Il modello per la segnalazione all’autorità – che deve essere inviata entro 72 ore da quando il titolare è venuto a conoscenza del data breach – prevede l’indicazione dell’avvenuta comunicazione all’interessato o, in alternativa, delle ragioni per cui il titolare non vi abbia provveduto. Qualora fossero ancora in corso le valutazioni in merito alla necessità di informare l’interessato, la relativa decisione andrà notificata comunque all’Autorità.

Con quali mezzi inviare la comunicazione

È il titolare che individua il canale più appropriato per comunicare la violazione agli interessati. Anche in questo caso, tuttavia, è utile ricordare che, in casi particolari, può chiedere consiglio all’Autorità di controllo non solo sull’opportunità di informare gli interessati ma anche sui messaggi appropriati da inviare loro, e sul modo più opportuno per contattarli.

Andranno privilegiati mezzi diretti (SMS, posta cartacea, posta elettronica, comunicazioni online – esempi citati anche dall’Autorità nel modello di notifica)[10]. Qualora lo sforzo risulti sproporzionato si potrà utilizzare la comunicazione pubblica facendo attenzione che la nota sia chiara e con lo stesso grado di efficacia conoscitiva del contatto diretto.

In ogni caso si ribadisce che l’Autorità di controllo può intervenire sia in merito ai mezzi utilizzati che nell’ingiungere una comunicazione non effettuata.[11]

Il modello di comunicazione del data breach agli interessati

Lo schema di comunicazione di una violazione dei dati personali all’interessato dovrà contenere tutti gli elementi previsti dall’art. 34 del GDPR:

  1. Descrivere con messaggio semplice e chiaro la natura della violazione. Il titolare si baserà sulla notifica al Garante ma spiegando la violazione in modo colloquiale o comunque con un linguaggio meno tecnico rispetto a quello utilizzato per la notifica all’Autorità così da rendere la comunicazione comprensibile anche a chi non ha specifiche conoscenze informatiche. La comunicazione deve spiegare in modo trasparente anche le possibili conseguenze per gli interessati[12].
  2. Misure adottate dal titolare. Andranno indicati gli elementi segnalati nella notifica all’Autorità.
  3. Iniziative che dovrebbe intraprendere l’interessato. Il titolare dovrà fornire consulenza alle persone fisiche sul modo più appropriato per difendersi, in particolare riguardo le specifiche le misure che gli interessati possono prendere. Ad esempio, suggerendo di reimpostare non solo la specifica password in caso di compromissione delle credenziali d’accesso di un account, ma anche di provvedere alla modifica delle password simili utilizzate per l’accesso ad altri dispositivi e/o programmi.
  4. dati di contatto del DPO o di altro punto ove ottenere informazioni. Indicare sempre un riferimento al quale l’interessato possa rivolgersi per avere chiarimenti e suggerimenti relativi alle iniziative che deve intraprendere: potrà essere il DPO o il referente privacy aziendale nel caso di un numero limitato di danneggiati o, nel caso si tratti di un numero consistente di interessati, una task force debitamente formata per dare riscontro alle richieste degli interessati e informarli riguardo le soluzioni tecniche e organizzative adottate dalla Società e/o da far adottare all’interessato stesso[13].

In tal modo il titolare avrà a disposizione almeno una guida cui ispirarsi per un adempimento percepito come particolarmente delicato.

NOTE

  1. I dati riportati sono stati resi noti dal Garante in data 29 ottobre u.s..
  2. Il Rapporto “State of Industrial Cybersecurity 2019” del luglio 2019.
  3. Disponibile al seguente link.
  4. La notizia è stata resa nota dal Garante in data 23 settembre 2019.
  5. Modello a disposizione al seguente link.
  6. Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679 adottate il 3 ottobre 2017 e emendate in data 6 febbraio 2018.
  7. Manuale RPD – Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea (Regolamento (UE) 2016/679) – Elaborato per il programma “T4DATA” con il contributo del Garante italiano per la protezione dei dati personali & dei Partner del progetto, versione approvata nel luglio 2019, pag. 247.
  8. Provvedimento n. 499 su data breach del 13 dicembre 2018 e provvedimento n. 106 su data breach del 30 aprile 2019.
  9. Il Considerando 86 sul punto prevede che “Il titolare del trattamento [deve] comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie”.
  10. Nel comunicato stampa del 28 ottobre di Unicredit, col quale veniva resa nota la notizia del data breach, nonostante l’elevato numero di interessati coinvolti (3.000) la banca ha dichiarato che “stava contattando esclusivamente tramite posta tradizionale e/o notifiche tramite online banking, tutte le persone potenzialmente interessate.
  11. Il Garante nel provvedimento del 13 dicembre 2018 “CONSIDERATA l’urgenza di comunicare la violazione dei dati personali agli interessati, fornendo loro indicazioni specifiche sulle misure che gli stessi possono adottare per proteggersi da eventuali conseguenze negative della violazione; … ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, ingiunge a …..di comunicare, senza ritardo e comunque entro trenta giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali a tutti gli interessati che non siano già stati destinatari della comunicazione di avvenuta violazione,….
  12. Newsletter n 453 del 30 magio 2019 (nel caso di accesso fraudolento dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti) il Garante ha contestato al titolare, tra l’altro, la genericità della descrizione della violazione che accennava semplicemente a “attività anomale sui sistemi”.
  13. Sempre il comunicato del 28 ottobre di Unicredit concludeva invitando a contattare “il Servizio Clienti o a chiamare il numero verde per qualsiasi dubbio”.
WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5