Il Garante per la protezione dei dati personali, nell’ottica di promuovere la consapevolezza dei titolari del trattamento e dei responsabili riguardo agli obblighi previsti dal GDPR, approfondisce la tematica della notifica delle violazioni di dati.

Per “violazione dei dati personali” si intende, secondo il Regolamento europeo 679/2016 in materia di protezione dei dati personali «la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati» (art. 4, punto 12 del Regolamento; art. 2, comma 1, lett. m, del d.lgs. n. 51/2018).

Il Regolamento UE 679/2016prevede all’art. 33 che il titolare del trattamento (impresa, pubblica amministrazione, associazione, libero professionista, ecc.) deve notificare al Garante per la protezione dei dati personali la violazione senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il mancato o ritardato adempimento della comunicazione espone le organizzazioni alla possibilità di pesanti sanzioni amministrative.

Il Garante era intervenuto in materia di notifica delle violazioni dei dati personali (data breach) con il precedente provvedimento del 30 luglio 2019 [doc. web: 9126951] e aveva reso disponibile sul proprio sito internet istituzionale un prezioso modello pdf editabile.

Il nuovo e recente intervento del Garante si rende necessario alla luce dell’elevato numero di notifiche di violazioni di dati pervenute che sono risultate prive di alcune informazioni necessarie per una compiuta valutazione da parte dell’Autorità con conseguente rallentamento delle attività. Il Garante in molteplici casi ha richiesto in questi anni di acquisire ulteriore documentazione in ordine ai fatti e alle circostanze relative alle violazioni dei dati.

Al fine di prevenire tali situazioni e nell’ottica di tutelare i diritti e le libertà delle persone fisiche, il Garante modifica in ottica migliorativa, con il presente provvedimento, il contenuto e le modalità della notifica delle violazioni dei dati personali.

Nell’ottica di accrescere l’efficacia e l’efficienza dell’azione amministrativa e di accompagnare i titolari del trattamento dei dati (imprese, professionisti e pubbliche amministrazioni) l’Autorità adotta e mette a disposizione degli utenti una inedita specifica procedura telematica online per la notifica delle violazioni dei dati personali. La sopra citata procedura telematica è resa disponibile nel portale dei servizi online dell’Autorità pubblicato all’indirizzo “https://servizi.gpdp.it/”, attraverso la quale, a far data dal 1° luglio 2021.

La nuova sopra citata procedura telematica costituisce l’unica ed ordinaria modalità mediante la quale l’Autorità accoglierà le comunicazioni di violazioni dei dati nell’ottica di garantire la correttezza formale, l’uniformità di trattamento nonché consentire la possibilità di effettuare le necessarie operazioni di gestione e monitoraggio delle notifiche delle violazioni dei dati personali.

La nuova procedura online presenta dei vantaggi operativi: da un lato, consente alle imprese e al Garante di disporre, come abbiamo visto, di un unico canale comunicativo che assicura la tracciabilità delle segnalazioni e dall’altro lato; consente, a differenza del passato, ai Titolari del trattamento, di allegare documenti integrativi di approfondimento di quanto dichiarato.

Il Garante ha rafforzato il contenuto della notifica e ha previsto rispetto al precedente modello pdf editabile molti più campi liberi da compilare al fine di migliorare la comunicazione delle imprese e descrivere meglio il contesto e gli effetti delle violazioni di dati.

Per semplificare il processo di compilazione nonché i successivi controlli, il Garante chiarisce nelle relative istruzioni che le informazioni sulle violazioni saranno raccolte mediante una serie di domande a cui l’utente è sempre tenuto a rispondere: pertanto, la “mancata risposta” ad una domanda trova esplicita possibilità di espressione previa selezione di specifiche risposte (es. “non ancora determinato”, “al momento non si dispone di tali informazioni”, ecc.). La nuova procedura online consente l’invio ai Titolari del trattamento di messaggi automatici con i quali sono informati ed esortati, a compiere le dovute azioni successive (l’integrazione) con l’indicazione delle relative motivazioni: in tale modo si aumenta l’efficacia e l’efficienza dell’azione amministrativa.

Il Garante richiama l’attenzione degli operatori sulla presa di responsabilità del contenuto delle dichiarazioni contenute nel modulo che si compila con la specifica procedura online.

Il nuovo modulo riporta, infatti, nella seconda pagina la dichiarazione di essere consapevole che chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice in materia di protezione dei dati personali (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante) o dell’art. 44 del d.lgs. 51/2018 (Falsità in atti e dichiarazioni al Garante), salvo che il fatto non costituisca più grave reato.

La notifica di una violazione dei dati personali come indicato nelle istruzioni sulla piattaforma costituisce un adempimento in capo al titolare del trattamento che tipicamente è una persona giuridica, mentre il sistema informatico del Garante è strutturato, come indicato nelle specifiche istruzioni per interagire con una persona fisica.

La nuova procedura consente ad una persona fisica – identificata – di effettuare la notifica in nome e per conto del titolare del trattamento previa assunzione della responsabilità, ai sensi dell’art. 168 del Codice, del contenuto della stessa. Il soggetto che effettua la notifica, pertanto, sarà il rappresentante legale del titolare del trattamento o un’altra persona che agisce su delega dello stesso (cfr. sezione A del modulo).

La nuova procedura ha, pertanto, un forte impatto organizzativo sui titolari del trattamento.

Le imprese, pubbliche amministrazioni devono pertanto definire chi è il delegato del rappresentante legale autorizzato a notificare al Garante le notificazioni di violazioni dei dati personali. Alla luce della complessità organizzativa è auspicabile che i delegati siano più di una singola persona al fine di non bloccare il processo nel caso di impossibilità o indisponibilità del singolo delegato.

Il nuovo modulo e la piattaforma comportano anche la necessità da parte dei titolari di aggiornare le relative policy in materia di comunicazione delle violazioni dati, condividere i nuovi moduli sulla rete intranet aziendale e pianificare nuove sessioni di informazione e formazione in materia con relative esercitazioni.

La piattaforma consente l’accesso al sistema la compilazione e l’invio della segnalazione sia a soggetti autenticati sia a soggetti non autenticato .

I soggetti autenticati devono essere muniti di credenziali SPID – livello 2 o in possesso di una nuova carta di identità elettronica (c.d. CIE 3.0), previa autenticazione informatica e devono esplicitamente indicare se agiscono in qualità di rappresentante legale del titolare del trattamento oppure in qualità di soggetto che invia la notifica su delega dello stesso. Per gli utenti autenticati è prevista, nell’ottica di agevolare la compilazione, la possibilità di attivare la funzionalità “salva in bozza” che consente la compilazione del modulo in fasi successive.

Secondo le istruzioni del Garante il processo di compilazione deve essere completato entro il termine di 24 ore dal primo salvataggio: trascorso tale termine, i dati inseriti saranno cancellati e dovranno essere nuovamente inserite.

I soggetti non autenticati hanno la possibilità di sottoscrivere la notifica mediante l’apposizione di una firma digitale. Con questa modalità, l’utente non autenticato compila il modulo online e riceve una e-mail contenente le istruzioni per completare la procedura. In particolare, sarà necessario:

1. «collegarsi ad una specifica pagina web e scaricare in locale il file pdf contenente i dati forniti durante la compilazione del modulo (si raccomanda di non modificare il file scaricato in quanto la minima modifica comporta il rigetto della notifica);

2. sottoscrivere il file pdf di cui al punto precedente con firma digitale (firma elettronica qualificata) in formato CAdES-BASELINE-B (estensione p7m) o PadES-BASELINE-B (estensione pdf) e senza usare “marche temporali”. A tal fine è necessario utilizzare un dispositivo di firma digitale rilasciato da un certificatore accreditato (https://www.agid.gov.it/it/piattaforme/firma-elettronica-qualificata/prestatori-di-servizi-fiduciari-attivi-in-italia);

3. collegarsi ad una specifica pagina web e caricare il file firmato digitalmente, previo inserimento di un identificativo e di un codice Upload riportati nella e-mail contenente le istruzioni».

Il Garante specifica nelle istruzioni come la procedura di notifica della violazione dei dati personali si intenda perfezionata esclusivamente al completamento delle operazioni di cui al punto 3.

Il Garante sottolinea come la mera compilazione del modulo e la conseguente ricezione dell’e-mail contenente le istruzioni non concludono la procedura di notifica della violazione dei dati personali.

L’autenticazione sopra citata non è semplicissima e richiederà nei primi mesi uno sforzo organizzativo da parte dei titolari (soprattutto le piccole e medie imprese e i comuni).

La piattaforma non prevede, per ora, uno specifico tutorial o un percorso di training e di prova simulata di notificazione né la versione in più lingue (inglese, francese).

II Garante approfondisce il profilo della tipologie di notifiche: notifica preliminare, completa, integrativa.

La notifica preliminare si verifica quando il titolare attiva il processo di notifica pur in assenza di un quadro completo della violazione con riserva di effettuare una successiva notifica integrativa. Si tratta di una situazione molto frequente sia nelle imprese sia nelle pa, in quanto non è sempre facile disporre di tutti gli elementi richiesti dall’art. 33 del regolamento privacy europeo.

È sempre garantita la possibilità di integrare una notifica, sia per fornire informazioni necessarie e mancanti nella prima notifica, sia per fornire informazioni aggiuntive di cui è venuto a conoscenza nel tempo. Al riguardo, è importante sapere che la notifica integrativa è da intendersi come qualcosa che annulla e sostituisce la precedente versione, previa integrazione o modifica (in fase di compilazione di una notifica integrativa viene riproposto all’utente il contenuto dell’ultima notifica trasmessa). Indipendentemente dalla qualificazione (“preliminare” o di “completa”) effettuata dal titolare durante la prima notifica.

Per la trasmissione di una notifica integrativa (cfr. sezione B1 del modulo) è necessario far riferimento al numero di fascicolo, e relativo PIN, che la procedura assegna successivamente alla trasmissione della prima notifica.

Il nuovo modello approfondisce il profilo della motivazione dell’integrazione e consente quattro opzioni:

a) si può fornire ulteriori informazioni senza completare il processo di notifica;

b) si può fornire ulteriori informazioni e completare il processo di notifica;

c) si può completare il processo di notifica senza fornire ulteriori informazioni;

d) si può annullare una precedente notifica per specifiche motivazioni da riportare nel modulo.

L’ultima opzione è particolarmente utile in quanto può verificarsi con frequenza nella realtà operativa , nel caso in cui da una successiva indagine si dimostri che l’incidente di sicurezza è stato contenuto e che non si è verificata alcuna violazione: ad esempio nel caso di smarrimento di device e successivo ritrovamento in azienda.

Il Garante specifica nelle istruzioni che la nuova procedura dovrà essere utilizzata anche per la trasmissione di informazioni integrative riferite a notifiche trasmesse con le previgenti modalità.

Il nuovo modulo richiede di specificare se il titolare del trattamento è censito o meno nell’Indice nazionale dei domicili digitali delle imprese e dei professionisti (INI-PEC www.inipec.gov.it – art. 6-bis Codice Amministrazione Digitale – d.lgs n. 82/2005 o se è Censito nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi – (Tipologie Enti: Pubbliche Amministrazioni) (IPA www.indicepa.gov.it – art. 6-ter Codice Amministrazione Digitale – d.lgs n. 82/2005) o se , invece, non censito in nessuno dei due precedenti indici.

Il nuovo modulo contiene, a differenza del precedente, un approfondimento sul ruolo di rappresentante del Titolare del trattamento non stabilito nello Spazio Economico Europeo e richiede la compilazione di molteplici dati (dati della persona giuridica e non del rappresentante legale).

Contiene inoltre una sezione sui dati di contatto per informazioni relative alla violazione; il titolare può indicare a riguardo i dati di contatto del RPD (tra cui anche il telefono) o di altro soggetto punto di contatto presso cui ottenere più informazioni.

Come il precedente, il nuovo modulo richiede di indicare il numero di protocollo assegnato alla prima comunicazione dei dati di contatto del RPD ma consente, comunque di inviare la segnalazione anche se non si dispone di tale numero.

Il nuovo modulo a differenza del precedente approfondisce la domanda sulle modalità con il quale il titolare è venuto a conoscenza della violazione e consente di selezionare una delle seguenti opzioni:

a) Rilevazione da parte del titolare;

b) Comunicazione da parte del responsabile del trattamento;

c) Segnalazione da parte di un interessato;

d) Segnalazione da parte di un soggetto esterno;

e) Notizie stampa;

f) altro.

Nella parte sulla causa della violazione compare nelle voci anche l’opzione “sconosciuta”.

Il modulo prevede una domanda aperta finalizzata ad illustrare la descrizione dei sistemi, software, servizi e delle infrastrutture coinvolte nella violazione, (nel precedente modulo l’analisi non si estendeva ai software e ai servizi).

Il modulo richiede la descrizione delle misure tecniche e organizzative, in essere al momento della violazione, adottate per garantire la sicurezza dei dati personali coinvolti, nel modulo precedente l’analisi era invece focalizzata sulle misure adottate per garantire la sicurezza dei dati, dei sistemi e delle infrastrutture.

Viene poi approfondito il profilo della valutazione del rischio per gli interessati (a pag. 16) e prevede delle nuove sezioni relative alle informazioni che si riferiscono a violazioni transfrontaliere e alle informazioni relative a violazioni che riguardano trattamento effettuato da un titolare stabilito al di fuori dello Spazio economico europeo.

In riferimento al profilo della valutazione del rischio per gli interessati, il nuovo modulo richiede ai Titolari del trattamento di attestare: una delle seguenti opzioni.

a) la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

b) la violazione non sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

c) siano necessari ulteriori elementi per effettuare la valutazione del rischio per i diritti e le libertà delle persone fisiche

Il Garante richiede di motivare l’opzione selezionata e di compilare a riguardo una sintetica descrizione e richiama sul punto le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, che individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.

In relazione alle informazioni relative a violazioni transfrontaliere, il modulo riporta la relativa definizione: di trattamento transfrontaliero (cfr. art. 4, punto 23), del Regolamento) come trattamento che ha luogo nell’ambito di stabilimenti in più di un Paese dello Spazio Economico Europeo (di cui fanno parte gli Stati membri dell’Unione Europea, nonché l’Islanda, il Liechtenstein e la Norvegia), oppure che ha luogo nell’ambito di un unico stabilimento in un Paese dello Spazio Economico Europeo, ma che può avere impatti significativi sui diritti e sulle libertà di interessati in più di un Paese dello Spazio Economico Europeo.

Il nuovo modulo richiede di specificare se violazione riguarda un trattamento transfrontaliero effettuato da un titolare stabilito all’interno dello Spazio Economico Europeo e di indicare l’autorità di controllo capofila.

Il modulo richiede di indicare i Paesi dello Spazio Economico Europeo in cui si trovano stabilimenti del titolare, specificando quelli coinvolti nella violazione, o in cui si trovano gli interessati coinvolti nella violazione e di indicare le altre autorità di controllo cui è stata eventualmente notificata la violazione.

In relazione alle informazioni relative a violazioni che riguardano trattamento effettuato da un titolare stabilito al di fuori dello spazio economico europeo, il Garante richiede di specificare se la violazione riguarda o meno il trattamento, a cui si applica il Regolamento effettuato da un titolare stabilito al di fuori dello Spazio economico europeo

Il Garante richiede di indicare gli altri paesi dello Spazio Economico europeo in cui si trovano gli interessati coinvolti nella violazione e di selezionare le altre autorità di controllo a cui è stata eventualmente notificata la violazione.

La procedura consente di allegare la copia in lingua inglese della notifica effettuata.

Il nuovo modello e la procedura telematica, come indicato dal Garante, devono essere utilizzare anche per la comunicazione delle notificazione di violazione di dati previste dall’art. 51 d.lgs. 18 maggio 2018, n. 51, recante Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.

L’adempimento della comunicazione delle violazioni di dati previsto dal Regolamento privacy europeo è uno dei più delicati e complessi del GDPR e non deve essere sottovalutato: occorre considerare inoltre che il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.

Il nuovo modulo non prevede, per ora, un momento di presa visione o condivisione delle dichiarazioni contenute anche da parte del DPO o RPD del Titolare (si tratta di un aspetto particolarmente strategico in quanto il DPO è una funzione specialistica con funzione di consulente del Titolare del trattamento e deve essere coinvolto nella gestione del data breach). Il Titolare del trattamento nel caso del verificarsi di eventi che possono compromettere i dati trattati dall’organizzazione deve consultare tempestivamente il Dpo che svolge una preziosa e insostituibile attività di supporto nelle procedure di data breach, alla comunicazione con gli interessati, nella tenuta del registro delle violazioni.

Il DPO è un supervisore, un facilitatore ma è anche il punto di contatto file rouge con l’Autorità Garante.

La notifica è uno strumento importante nel percorso di costruzione di fiducia con i propri clienti e nella relazione di trasparenza con autorità Garante.

La procedura online del Garante aiuterà le pubbliche amministrazioni e le imprese nell’ottica di prevenzione anche delle sanzioni amministrative che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

La procedura telematica costituisce un prezioso strumento utile alla luce anche dell’aumento degli attacchi informatici alla luce del forte aumento nel 2021 delle violazioni di dati in relazione allo sviluppo della pandemia e all’aumento del perimetro di attacco a seguito del ricorso allo smart working nelle organizzazioni.

A seguito della modifica dei contenuti della notifica e dell’introduzione della nuova procedura telematica i Titolari del trattamento con il prezioso supporto dei DPO devono decidere quali soggetti delegare per la compilazione della notificazione e procedere con tempestività all’aggiornamento delle procedure interne di data breach: non vi i può essere, infatti, protezione dei dati personali in assenza di visione e dell’adozione di uno specifico modello di gestione e di specifiche misure organizzative.