Novità sugli obblighi di notifica in caso di violazione dei dati personali. Nota n. 1248 del 2023

Il Ministero dell'Istruzione ha trasmesso lo scorso 2 agosto agli Uffici Scolastici Regionali la nota informativa n. 1248 del 2023 riguardante gli obblighi di notifica in caso di violazione dei dati personali (c.d. "data breach") sulla scorta della revisione delle Linee Guida n. 9/2022 elaborato dal Comitato Europeo per la Protezione dei Dati (EDPB) lo scorso 28 marzo 2023.
Trattasi di un'occasione per le amministrazioni scolastiche, non solo di prendere visione degli aggiornamenti relativamente al nuovo compito del DPO di compilare il registro delle violazioni privacy, ma anche per stimolare la partecipazione agli appositi programmi di formazione rivolti al personale scolastico in tema di obblighi di privacy e sicurezza, nonché a consultare periodicamente la documentazione relativa alle Linee Guida Edpb rinvenibile nella sezione "Privacy" nell'area riservata del sito del Ministero, come ad esempio la versione Linee guida interne del 2021 sulla base delle quali gli USR hanno costituito le loro unità di presidio regionale per la gestione degli incidenti di sicurezza e la gestione operativa dei data breach sugli archivi digitali e sugli archivi cartacei.
Brevemente si coglie l'occasione di compendiare il contenuto della nota in allegato.

Classificazione delle violazioni di dati personali

Secondo l'art. 4, n. 12 del Regolamento costituisce violazione di dati personali ogni "violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati". Una violazione di dati personali può, del resto, se non affrontata in modo adeguato e tempestivo provocare agli interessati danni fisici, materiali e immateriali, come la limitazione dei diritti, la discriminazione, il furto o l'usurpazione di identità, un pregiudizio alla reputazione e/o altri nocumenti di natura tanto economica, quanto sociale. Il Comitato ha ritenuto utile ricordare come le violazioni di dati personali possano essere classificate in tre diverse tipologie connesse alla sicurezza delle informazioni (c.d. Triade R.I.D.):
- violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzato o accidentale;
- violazione dell'integrità, in caso di modifica non autorizzata o accidentale dei dati personali;
- violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.

Tempi di notifica del data breach
La tempestività assume rilievo fondamentale nelle procedure di notifica dei data breach. Resta fermo il principio per cui l'obbligo di notifica sorge nel momento in cui il Titolare venga a conoscenza del data breach. Quanto al momento dal quale decorrono le 72 ore per la notifica della violazione al Garante, sono state indicate, a titolo esemplificativo, una serie di situazioni-tipo reputate idonee a far cogliere con maggiore chiarezza i momenti di conoscenza di eventuali violazioni della prassi, come ad esempio:

1) abbia ricevuto una e-mail da un utente che lo abbia avvisato di essere stato contattato da un soggetto terzo che impersonava il Titolare e che possa verosimilmente aver avuto accesso ai dati dell'organizzazione del Titolare medesimo;
2) sia stata condotta una rapida indagine in grado di suffragare la segnalazione dell'utente, attraverso l'acquisizione di prove puntuali di un'intromissione nel sistema.
Oppure, quando:
3) un terzo lo informi di aver ricevuto da suoi dipendenti/operatori, per errore, una comunicazione contenente i dati personali di altri utenti e fornisca la prova dell'intervenuta divulgazione non autorizzata (in tal caso, dal momento che il Titolare del trattamento è stato reso edotto, anche attraverso il supporto di prove evidenti, di una violazione della riservatezza, non possono sussistere dubbi circa il fatto che la stessa si sia verificata e che il Titolare stesso ne sia venuto a conoscenza).
O, ancora:
4) in caso di smarrimento di una chiavetta USB contenente dati personali non criptati gestiti dall'organizzazione del Titolare (in tale evenienza, infatti, non essendo effettivamente possibile constatare con assoluta certezza se persone non autorizzate abbiano avuto o meno accesso a tali dati, si deve presumere un accesso non autorizzato possa essersi determinato).

Doveri del Responsabile del Trattamento
L'art. 28, paragrafo 3, del GDPR, nello stabilire che il ruolo del Responsabile del trattamento debba essere disciplinato da un contratto o da un altro atto giuridico, precisa, alla lettera f), che detto contratto o altro atto giuridico deve prevedere che il Responsabile del trattamento "assista il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento".
L'articolo 33, paragrafo 2, del GDPR chiarisce inoltre che, se il Titolare ricorre a un Responsabile del trattamento e quest'ultimo viene a conoscenza di una violazione dei dati personali che sta trattando per conto del Titolare, deve notificarla al Titolare "senza ingiustificato ritardo".
Va, inoltre, evidenziato che il Responsabile del trattamento non deve valutare la probabilità del rischio sui diritti e le libertà delle persone fisiche prima di notificare la
violazione al Titolare. Spetta, infatti, a quest'ultimo effettuare tale valutazione nel momento in cui viene a conoscenza del data breach. Il Responsabile del trattamento è tenuto soltanto a verificare se sia occorsa una violazione e notificarla al Titolare.

Valutazione del rischio a seguito di data breach nelle nuove Linee Guida
Il Titolare è chiamato a classificare la violazione, stabilendo se la stessa sia effettivamente suscettibile di comportare o meno un rischio per i diritti e le libertà degli interessati coinvolti e, nel primo caso, se si tratti o meno di un rischio elevato. Laddove risulti improbabile che la violazione possa generare rischi può decidere di non inoltrare la notifica. La misura del rischio va determinata in funzione della probabilità e della gravità del rischio. Al fine di vagliare la gravità del rischio, il Comitato suggerisce ai Titolari di tenere conto dei seguenti fattori: a. il tipo di violazione occorsa; b. la natura, la tipologia (es. dati comuni ovvero appartenenti a categorie particolari o relativi a condanne penali o reati) e il volume dei dati compromessi; c. la facilità per soggetti terzi non autorizzati di identificare gli individui i cui dati sono stati compromessi; d. le possibili conseguenze per gli individui; e. le caratteristiche peculiari degli individui coinvolti (es. nel caso di minori o individui vulnerabili); f. le caratteristiche peculiari del Titolare (es. se si tratta di una struttura sanitaria); g. il numero di interessati coinvolti.
A seconda della probabilità e del grado del rischio rilevato, il Titolare dovrà quindi notificare la violazione al Garante Privacy, comunicare all'interessato la violazione senza ingiustificato ritardo e riportare l'evento nel registro delle violazioni (tale ultima attività dovrà essere compiuta a prescindere, sia nel caso in cui il Titolare abbia provveduto alla notifica e/o alla comunicazione dell'incidente di sicurezza, sia quando la violazione subita non presenti alcun rischio per i diritti e le libertà dei soggetti coinvolti - es.: breve interruzione della fornitura di energia elettrica o compromissione di dati già pubblicamente disponibili). Nell'effettuare quest'analisi, è bene, quindi, che siano considerate e tenute presenti anche tutte le possibili conseguenze secondarie della violazione, che potrebbero produrre impatti significativi nella vita degli interessati.

Suggerimenti per la notifica all'Autorità di controllo

Obiettivo precipuo dell'obbligo di notifica è, invero, quello di incoraggiare il Titolare del trattamento ad agire rapidamente in caso di data breach, al fine di contenerlo e, se possibile, di recuperare tempestivamente i dati personali compromessi. Il Regolamento prende però atto del fatto che non sempre sono acquisibili, nel ristretto termine indicato dalla norma, tutte le informazioni necessarie su un incidente di sicurezza, per questo la nuova versione delle Linee Guida ha riproposto una serie di indicazioni utili per l'eventualità in cui il Titolare non entri immediatamente in possesso di tutti gli elementi utili per effettuare una descrizione completa ed esaustiva del data breach occorso, con un focus particolare sull'ipotesi in cui la notifica venga effettuata in ritardo. Il Titolare potrà quindi procedere ad una notifica, se necessario, "per fasi": un primo alert seguito dall'invio di notifiche integrative contenenti la comunicazione di tutte le informazioni aggiuntive acquisite successivamente. Ciò a maggior ragione nel caso in cui, nel corso dell'indagine, venga appurato che l'incidente verificatosi sia stato contenuto e che non si sia effettivamente verificata alcuna violazione dei dati. Queste informazioni, infatti, possono essere aggiunte a quelle già fornite all'Autorità di controllo, con conseguente registrazione dell'incidente come una non-violazione (o "falso positivo").

Comunicazione del Titolare agli interessati

Un altro aspetto chiave in caso di data breach al livello di "allarme" (in caso di rischio per le libertà e i diritti delle vittime) è ricorrere alla comunicazione della violazione agli interessati coinvolti, che dovrà:

• avere un linguaggio semplice e chiaro
• non essere confondibile
• essere fornita con il mezzo di comunicazione più diretto
• venir diffusa anche sui social

Meccanismo dello Sportello Unico (c.d. "one-stop-shop")

Le modifiche apportate in sede di aggiornamento del documento hanno interessato inoltre, in particolare, i paragrafi 70 e seguenti delle Linee Guida, che sono incentrati sul meccanismo dello Sportello Unico o del c.d. "One Stop Shop" allo scopo di assicurare l'applicazione uniforme delle norme in materia di protezione dei dati personali nel territorio dell'Unione Europea. Per effetto del meccanismo del c.d. "One Stop Shop", i trattamenti ricadono, in linea di principio, nella competenza di un'unica Autorità di controllo, da individuarsi nell'Autorità Garante dello Stato membro in cui il Titolare del trattamento abbia stabilito la sua sede principale, così da giungere a una decisione condivisa. L'aggiornamento delle Linee Guida, però, vuole precisare che, nel caso in cui il Titolare del trattamento non abbia stabilito una propria sede all'interno dell'UE, ma disponga unicamente di un mero rappresentante in uno Stato Membro, il meccanismo del One Stop Shop non può trovare applicazione, si dovrà quindi notificare la violazione (sempre entro il termine delle 72 ore) a tante autorità di protezione dei dati dei Paesi europei quante sono le nazionalità europee coinvolte nell'incidente.

Esempi di data breach

Nell'aggiornare le Linee Guida del 2017, il Comitato ha ritenuto di dover arricchire la casistica di data breach già inclusa nelle Linee Guida del 2021, indicando ulteriori possibili scenari di violazione. Un dato che è quindi possibile trarre dalle novità introdotte è che il "Registro dei data breach" deve diventare un elenco molto dettagliato di ogni violazione dei dati personali eventualmente occorsa, indipendentemente dall'effettiva gravità della stessa e dai reali rischi ai quali abbia esposto gli interessati.

Misure pratiche e consigli tecnici

Al fine di rilevare tempestivamente eventuali violazioni e poter quindi reagire rapidamente e appropriatamente alle stesse, le nuove Linee Guida suggeriscono ai Titolari del trattamento di:

• rendere note le informazioni a una o più persone deputate ad affrontare gli incidenti di sicurezza;
• valutare il rischio derivante dalla violazione secondo gradi (assente, medio, elevato);
• documentare i singoli passaggi della violazione magari mediante apposita relazione;
• avvalersi di strumenti specifici come analizzatori di flussi di dati e di log e di misure e meccanismi di rilevazione quanto più dettagliati possibile;
• richiamare periodicamente l'attenzione dei dipendenti sui più comuni errori nel trattamento dati e sulle strategie per evitarli tramite appositi programmi di formazione e sensibilizzazione del personale sugli obblighi di privacy e sicurezza;
• utilizzare politiche di controllo degli accessi, con misure di autenticazione più rigide e di disabilitazione degli account istituzionali più tempestive;
• gestire le interfacce di input/output da BIOS e la disabilitazione delle funzioni di stampa dello schermo nel sistema operativo.

Il ruolo del Responsabile della Protezione dei Dati nelle nuove Linee Guida
Le Linee Guida si soffermano, infine, sul ruolo del Responsabile della Protezione dei Dati o Data Protection Officer (RPD/DPO) che, nel caso di data breach, deve fornire assistenza e informazione al Titolare, monitorando il rispetto del GDPR e supportando l'organizzazione nella ricostruzione dell'incidente, per constatare se sia stato gestito in maniera efficiente ed efficace e per individuarne le eventuali cause.
Nella versione aggiornata del documento viene osservato inoltre come, sebbene tale compito non rientri tra quelli "ordinari" del DPO, il Titolare possa anche valutare l'opportunità di affidare al Responsabile della Protezione dei Dati l'incarico di tenere il Registro dei data breach, in cui documentare gli incidenti eventualmente occorsi e da esibire all'Autorità di controllo in caso di eventuali verifiche e ispezioni.   

Nota n. 1248 del 2023