Data Breach: le nuove linee guida EDPB

Lo scorso 28 marzo 2023 l’European Data Protection Board ha adottato le nuove linee guida riguardanti la notifica dei Data Breach, rendendo di fatto nulla la precedente versione approvata pochi mesi dopo l’entrata in vigore del GDPR.

Tale modifica è stata impiegata a seguito della consultazione pubblica dello scorso ottobre che ha generato parecchi spunti di riflessione, tra questi vi è stata un’attenzione particolare per il meccanismo del “one-stop-shop” per il quale si rende possibile la notifica di un data breach ad una sola autorità. 

Le nuove linee guida 09\2022

Le nuove linee guida EDPB in tema di notifica data breach riguardano in particolare il paragrafo 70 e seguenti delle precedenti linee guida. Si riferiscono al titolare del trattamento che non ha una sede all’interno dell’UE (ad esempio un’azienda USA che non abbia stabilito una propria rappresentanza in territorio comunitario): in questo caso la notifica va inviata all’autorità garante di ogni stato membro UE i cui cittadini siano stati coinvolti nel data breach.

Le nuove linee guida escludono quindi la possibilità di ricorrere al meccanismo del “one-stop-shop”: in precedenza era sufficiente notificare il data breach all’autorità garante del paese presso cui risiedeva il rappresentante. Con le recenti modifiche la notifica dovrà avvenire verso le autorità garanti dei vari paesi, in base agli interessati coinvolti.

Una sostanziale modifica è stata attuata anche nei confronti dell’allegato VII, ovvero nel diagramma di flusso operativo (che riportiamo nell’immagine sottostante) che guida gli operatori sui passaggi da seguire in caso di data breach.

I tempi di notifica del data breach nelle nuove linee guida

Le nuove linee guida EDPB stabiliscono dei punti fermi per quello che riguarda i tempi di notifica del data breach.

L’articolo 33 del GDPR precisa che: “in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza”.

Ci si interroga quindi quando ha inizio il decorso delle 72 ore concesse per notificare all’autorità garante e agli interessati un data breach nel rispondere a questo interrogativo l’EDPB spiega che l’ipotesi dev’essere focalizzata in una visione precisa.

Nello specifico la visione riguarda quella per cui il titolare, avendo “adottato misure tecnico-organizzative a protezione dei dati”, viene rapidamente a conoscenza della violazione subita.

Al contrario prendere tardivamente consapevolezza di una violazione è indice di scarsa o inadatta organizzazione aziendale in termini di conformità normativa e implementazione di misure tecniche a protezione dei dati.

L’EDPB viene incontro dei titolari elencando delle situazioni “tipo” in cui lo stesso può venire a conoscenza della violazione. Ad esempio:

• il titolare riceve una email da un cliente che avvisa di aver ricevuto un contatto da un terzo che impersonava il titolare del trattamento. Si presume che quindi l’anonimo abbia avuto accesso ai dati del titolare stesso del trattamento;
• viene quindi condotta un’indagine volta a confermare l’allerta del cliente.

Questo esempio è considerato il momento in cui iniziano a decorrere le 72 ore.

Esempi di data breach

Le nuove linee guida includono un registro dei data breach, un elenco minuzioso di ogni violazione dei dati personali, dalla più formale a quella più significativa.

L’EDPB include in questo registro dei data breach l’ipotesi di una “breve interruzione della fornitura di energia elettrica” che per qualche minuto può impedire il funzionamento di un call center aziendale rivolto ai clienti, che in questo modo non sono in grado di contattare il titolare ed esercitare i loro diritti.

Un altro esempio di data breach è la compromissione di dati già pubblicamente disponibili o di dati adeguatamente crittografati. Al riguardo l’EDPB ricorda che solo una crittografia “sicura” consente di considerare i dati come non accessibili da terzi non autorizzati, questo comporta una conoscenza specifica in capo ai titolari circa i meccanismi di crittografia.

La valutazione del rischio a seguito di un data breach nelle nuove linee guida

Secondo le nuove linee guida nel momento in cui il titolare viene a conoscenza di un data breach deve attivare una serie di procedure volte a comprendere se la violazione:

1. non comporta un rischio per i diritti e le libertà degli interessati coinvolti;
2. comporta in effetti un rischio per i diritti e le libertà degli interessati coinvolti;
3. comporta un rischio elevato per i diritti e le libertà degli interessati coinvolti.

Nel compiere questa valutazione l’EDPB chiarisce che bisogna considerare:

• il tipo di violazione, comprendendo anche la sua natura e tipologia e il volume dei dati compromessi;
• la facilità per soggetti terzi non autorizzati di identificare gli individui i cui dati sono stati compromessi;
• le possibili conseguenze per gli individui;
• le caratteristiche peculiari degli individui coinvolti e caratteristiche peculiari del titolare;
• il numero di interessati coinvolti.

Comunicazione del data breach agli interessati: le distinzioni dell’EDPB

L’EDPB elenca inoltre delle precisazioni rispetto alla comunicazione che il titolare deve rivolgere agli interessati vittime di data breach:

• il linguaggio della comunicazione dev’essere semplice e chiaro volto a specificare la natura della violazione, i dati di contatto del DPO o altro, le possibili conseguenze, le misure messe in atto per minimizzare danni e rischi;
• l’avviso di data breach non deve essere confondibile con le comunicazioni ordinarie. Non è lecito quindi “nascondere” in una newsletter a cadenza regolare una comunicazione di questo tipo;
• è preferibile utilizzare comunicazioni dirette rispetto a quelle indirette, una e-mail è più efficace di un comunicato stampa o di una news sul blog aziendale. È fondamentale moltiplicare il più possibile gli strumenti utilizzati per veicolare la comunicazione, così da garantire la massima diffusione.

Il ruolo del DPO nelle nuove linee guida

L’EDPB nelle nuove linee guida chiarisce infine il ruolo del DPO che, nel caso di data breach, deve fornire consulenza e informazione al titolare monitorando il rispetto del GDPR e fornendo pareri anche in relazione alle eventuali valutazioni di impatto.

Il DPO nel suo duplice ruolo emerge con chiarezza poiché il titolare nel notificare una violazione deve indicare i dati e i contatti del responsabile per la protezione dei dati, cosicché quest’ultimo possa in seguito fungere da tramite fra l’autorità garante ed il titolare.

È possibile, secondo l’EDPB, affidare al DPO l’incarico di tenere il registro dei data breach, anche se questo compito non rientra tra quelli “ordinari” del responsabile.