L’obbligo di cooperazione nel data breach

Così analizzato il primo caso di attività di collaborazione sancito ex lege, occorre ora passare in rassegna il secondo, vale a dire l’ipotesi in cui il titolare subisca un data breach: una violazione della sicurezza, accidentale o illecita, che determina la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Nel momento in cui il titolare viene a conoscenza della violazione, ai sensi dell’art. 33 GDPR, dovrà provvedere a notificare detta violazione all’Autorità di controllo, senza ingiustificato ritardo e, ove possibile, entro 72 ore, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Nell’atto di notificazione, il titolare è tenuto ad indicare i dati di contatto del DPO, affinché questi collabori con l’Autorità. Anche in questo caso viene in rilievo quanto già evidenziato con riferimento al parere rilasciato dal DPO al termine del DPIA.

Ai sensi dell’art. 33, infatti, il titolare non è tenuto alla notifica della violazione, allorquando sia improbabile che la stessa determini un rischio per i diritti e le libertà delle persone fisiche. In tal caso, il titolare potrà decidere direttamente di notificare, senza richiedere un previo parere al DPO al riguardo, ovvero (e, nella prassi, è naturale attendersi che sia questa l’opzione più frequente) chiedere allo stesso un preventivo parere circa l’obbligo di provvedere o meno alla notifica. Emerge tuttavia un profilo di dubbio, in relazione all’ipotesi in cui il DPO dovesse ritenere non necessaria la notifica, e dunque il titolare, attenendosi a tale parere, non vi provveda, e l’Autorità, invece, dovesse decidere di intervenire, in un momento successivo, valutando la mancata notifica in termini di violazione dell’obbligo e quindi operando una valutazione discorde da quella fatta dal DPO. In una tale ipotesi, viene da chiedersi se il titolare dovrebbe essere sanzionato ai sensi dell’art. 83 GDPR, o potrebbe, invece, andare esente da responsabilità,

186

proprio in virtù dell’affidamento nei confronti della valutazione del DPO. In relazione a quest’ultimo, ancora, resta da chiedersi se dovrà rispondere dell’operato, che ha esposto alle sanzioni, il titolare, e se tale responsabilità potrà configurarsi come mancato o inesatto adempimento.

Peraltro, nel caso di data breach, potrebbe venire in rilievo un’ulteriore evenienza, sicuramente più inerente l’obbligo di cooperazione inteso strictu sensu. Nell’espletamento dell’attività collaborativa, e nello specifico, nell’obbligo di rendere all’Autorità eventuali chiarimenti di cui la stessa dovesse aver bisogno, il DPO dovrà comportarsi secondo un canone di diligenza professionale, ma viene da chiedersi cosa potrebbe accadere in caso di mancata attivazione o di adempimento in maniera inesatta. Se è pur vero che l’Autorità potrà rivolgersi al titolare, ed è altresì vero anche che questi potrà eventualmente agire contro il DPO, il dubbio che si pone risiede sulla possibilità che sia comunque il titolare ad andare incontro ad eventuale sanzione per il mancato rispetto delle norme di legge, essendo così chiamato a rispondere per l’inadempimento del DPO377. Stesso interrogativo potrebbe poi sorgere con riferimento all’atto di notifica all’Autorità dell’avvenuto data breach, dal momento che il contenuto della notifica, infatti, viene redatto dal titolare con la collaborazione del DPO, se non, presumibilmente (in qualsiasi tipo di realtà presa in considerazione, sia essa pubblica o privata), in via esclusiva da quest’ultimo378_{. Del resto, è difficile} credere che il titolare abbia le competenze idonee a soddisfare l’obbligo, sancito dallo stesso art. 33, di “descrivere la natura della violazione dei dati personali

377 _{Si rende necessario proporre un esempio: si pensi ad uno studio medico, in cui viene nominato}

un consulente privacy che, in sostanza, si ritrovi a svolgere le concorrenti funzioni di DPO, in ragione della necessità di un mantenimento dei costi aziendali tale per cui non è possibile nominare più soggetti. Qualora lo studio in questione dovesse subire un data breach, e abbia dato notizia dello stesso all’Autorità, nel caso in cui questa abbia la necessità di ottenere determinate informazioni inerenti la violazione, solo il DPO si troverà nelle condizioni di poter rispondere compiutamente alle richieste dell’Autorità, non essendovi altri soggetti deputati a farlo.

378 _{L’art. 33 stabilisce che la notifica deve almeno:}

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze delle violazioni dei dati personali;

d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.

187

compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione”. Generalmente, il titolare potrà fare riferimento agli addetti alla gestione tecnica dei sistemi di sicurezza, confrontandosi direttamente con loro, ma è evidente, oltre che più probabile, che sia il DPO a fungere da punto di contatto per gli stessi incaricati, rientrando anche tale funzione tra i suoi compiti. Pertanto, quasi sicuramente, sarà il DPO a dover provvedere all’onere di redigere il contenuto della notifica in questione. In tal caso, è naturale domandarsi cosa potrebbe avvenire nell’ipotesi in cui la notifica sia carente di un contenuto prescritto ex lege, che, nonostante le sollecitazioni dell’Autorità, il DPO non provveda ad aggiornare, ed in particolare è da chiedersi se sarà, ancora una volta, il titolare ad essere sanzionato per l’eventuale inadempimento del DPO.

Ancora, l’art. 33, al par. 5, prevede che il titolare del trattamento documenti qualsiasi violazione di dati personali, compresi le circostanze a essa relative, le conseguenze e i provvedimenti adottati per porvi rimedio. Anche in tal caso, è altamente probabile che, nelle realtà prese in considerazione, il compito di redigere tale registro possa esser fatto gravare sul DPO, conformemente a quanto accade con riferimento al registro di cui all’art. 30 GDPR.

Certo è che, nelle ultime due ipotesi attenzionate, si è dinanzi a compiti di carattere operativo che, ai sensi di legge, sarebbero posti in via esclusiva in capo al titolare, sebbene questi, in totale autonomia, possa decidere di delegarli al DPO. Pertanto, al ricorrere di queste ultime circostanze, è legittimo ipotizzare che il DPO sarà sicuramente tenuto a rispondere per inadempimento contrattuale nei confronti del titolare e che, tuttavia, quest’ultimo potrebbe legittimamente essere sanzionato dall’Autorità (sebbene a causa dell’inadempimento o l’inesatto adempimento del primo).

3.1.3 L’obbligo di cooperazione nei casi di condotta colpevole del Data