Anche se non è stata effettuata la notifica e la comunicazione, occorre documentare le violazioni
Gli artt. 33 e 34 del Regolamento Ue 679/2016 (GDPR) prevedono una specifica disciplina in caso di violazione dei dati personali, che coinvolge da un lato il titolare del trattamento – e, in alcuni casi, anche l’autorità di controllo (il Garante per la protezione dei dati personali) – e dall’altro l’interessato. Sull’argomento, il Gruppo di lavoro ex art. 29 è intervenuto con le Linee guida in materia di notifica delle violazioni di dati personali (data breach notification), nella versione emendata e adottata il 6 febbraio 2018 (disponibile ad oggi solo in versione inglese).
La nozione di violazione dei dati personali è molto estesa, potendo ricomprende la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, sia che avvenga accidentalmente, sia in modo illecito (art. 4 n. 12 del GDPR). Si potrebbe, ad esempio, ipotizzare un accesso ai dati personali effettuato da parte di soggetti non specificatamente autorizzati nell’ambito di un ufficio o di uno studio professionale, oppure anche il furto di un computer nel quale sono stati salvati i dati personali di propri clienti.
La violazione dei dati personali comporta alcuni obblighi per il titolare del trattamento, anche su informativa del responsabile del trattamento – senza ingiustificato ritardo – che ne sia venuto a conoscenza.
Innanzitutto, l’art. 33 del GDPR – rispetto al vigente art. 32-bis del Codice della privacy con riguardo agli adempimenti conseguenti a una violazione da parte del fornitore di servizi di comunicazione elettronica accessibili al pubblico – introduce l’obbligo per tutti i titolari del trattamento di notificare la violazione al Garante “senza ingiustificato ritardo” e, ove possibile, entro 72 ore dal momento in cui si è venuti a conoscenza della stessa (la mancata notifica entro tale termine comporta l’allegazione dei motivi di ritardo).
L’obbligo scatta, però, solo qualora il titolare del trattamento ritenga “probabile” che da tale violazione derivino rischi per i diritti e le libertà delle persone fisiche. In tal senso, allora, la notifica non è sempre obbligatoria, essendo rimessa allo stesso titolare del trattamento – al quale è posto uno specifico onere probatorio in maniera conforme al principio di responsabilizzazione (cfr. considerando n. 85) – una preventiva valutazione del rischio per gli interessati.
Come precisato dal considerando n. 75, i rischi per i diritti e le libertà delle persone fisiche possono derivare, in generale, da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale. Ciò avviene, a titolo esemplificativo, nel caso di trattamento che riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Se, poi, la probabilità di tale rischio risulta “elevata”, l’art. 34 del GDPR prescrive in capo al titolare del trattamento l’obbligo di informare della violazione anche l’interessato, sempre “senza ingiustificato ritardo”. La comunicazione è esclusa qualora il titolare del trattamento abbia adottato:
– le misure tecniche e organizzative adeguate di protezione (applicate ai dati personali oggetto della violazione), come la cifratura;
– successivamente, misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.
Qualora, invece, la comunicazione richieda sforzi sproporzionati, si procede ad una comunicazione pubblica o a una misura simile, tramite la quale gli interessati vengano informati con analoga efficacia.
Il Garante può decidere se, previa valutazione della probabilità del rischio elevato derivante dalla violazione dei dati personali, il titolare del trattamento debba comunicarla all’interessato, oppure sia integrata un’ipotesi derogatoria.
Come stabilito, con riferimento alla notifica, dall’art. 33, par. 5 del Regolamento e ribadito dal Garante, nella Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, in ogni caso i titolari del trattamento sono tenuti a documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, oltre alle relative circostanze e conseguenze, e i provvedimenti adottati.
La notificazione e la comunicazione devono avere un contenuto minimo. Le informazioni riguardano per entrambe:
– il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto per l’ottenimento di maggiori informazioni;
– la descrizione delle probabili conseguenze della violazione dei dati personali;
– la descrizione delle misure adottate o di cui si propone l’adozione al fine di porre rimedio alla violazione dei dati personali ed eventualmente per ridurne gli effetti negativi.
Inoltre, occorre fornire anche la descrizione della natura della violazione dei dati personali compresi, con riguardo alla notifica al Garante, ove possibile, categorie e numero approssimativo, da un lato, di interessati e, dall’altro, di registrazioni dei dati personali coinvolti. Sempre con riferimento, poi, alla notifica, l’art. 33, par. 4 del Regolamento precisa che le informazioni possono essere rese successivamente, qualora non sia possibile fornirle contestualmente, purché “senza ulteriore ingiustificato ritardo”.