L’obbligo d’informativa estesa

In virtù dell'attuazione in Italia della Direttiva sulla e-privacy 2009/136/CE (che ha modificato la Direttiva 2002/58/CE) il 28 maggio 2012, i fornitori di servizi elettronici accessibili al pubblico e i servizi di comunicazione sono ora soggetti a severi requisiti per far fronte alle violazioni dei dati personali106_.

In linea con la Direttiva sulla e-Privacy, il Codice Italiano sulla protezione dei dati (Decreto legislativo del 30 giugno 2003, n. 196) considera la violazione dei dati personali una violazione della sicurezza che porta alla distruzione accidentale, alla perdita, all'alterazione, divulgazione non autorizzata o accesso a dati personali trasmessi, archiviati o altrimenti trattati in relazione alla fornitura di un servizio di comunicazione elettronica accessibile al pubblico107

105 Ibid.

106 Decreto legislativo 28 maggio 2012 , n. 69 Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante

codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell´esecuzione della normativa a tutela dei consumatori.

Secondo le nuove disposizioni, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta misure tecniche e organizzative adeguate alla luce del rischio esistente108

I fornitori devono notificare all'autorità Garante per la protezione dei dati la violazione dei dati personali senza indebito ritardo. Nei casi più gravi, i fornitori devono inoltre segnalare senza indugio violazioni all'appaltatore o ad altre persone109

Il 26 luglio 2012, il Garante per la protezione dei dati italiano ha emesso linee guida e istruzioni per l'implementazione dei nuovi requisiti di sicurezza riguardanti110_:

➢ le circostanze in cui un fornitore è tenuto a notificare le violazioni dei dati personali;

➢ il formato della notifica;

➢ il modo in cui deve essere effettuata la notifica.

Inoltre, ha avviato una consultazione pubblica su alcuni argomenti rilevanti ai fini dell'attuazione dei nuovi requisiti al fine di armonizzare le procedure e le modalità di notifica delle violazioni dei dati personali e di raccogliere da società di telecomunicazioni elementi utili riguardanti i fornitori di servizi Internet per valutare la adeguatezza delle nuove misure111

Le linee guida chiariscono che l'obbligo di notifica si applica solo ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, vale a dire ai soggetti che forniscono, tramite reti pubbliche di comunicazione, servizi che consistono interamente o

108Art. 32, co. 1, del “Codice in materia di protezione dei dati personali”. 109 Art. 32-bis del “Codice in materia di protezione dei dati personali”.

110Ai sensi dell’Art. 32-bis del “Codice in materia di protezione dei dati personali”, il Garante per la protezione dei dati italiano può emettere una decisione contenente linee guida e istruzioni in merito alle circostanze in cui un fornitore è tenuto a notificare le violazioni dei dati personali, il formato di tale notifica e il modo in cui deve essere effettuata la notifica.

111 Comunicato stampa pubblicato sul sito web del Garante per la protezione dei dati Italiano in data 1° agosto 2012.

principalmente nella trasmissione di segnali su reti di comunicazione elettronica come ad esempio operatori di telecomunicazioni e i fornitori di servizi Internet112

Pertanto, in linea con la direttiva sulla privacy elettronica, i nuovi requisiti non si applicano a tutti i responsabili del trattamento dei dati.

In particolare, secondo le linee guida, i seguenti operatori non sono soggetti ai nuovi requisiti113_:

➢ fornitori di servizi di comunicazione elettronica a un piccolo gruppo di persone (ad esempio dipendenti o collaboratori del fornitore);

➢ proprietari di imprese pubbliche o private che mettono a disposizione del pubblico dispositivi client o partner per comunicazioni o punti di accesso a Internet senza fili;

➢ fornitori di contenuti Internet; ➢ operatori dei motori di ricerca.

Inoltre, i nuovi requisiti si applicano solo in relazione alla fornitura dei suddetti servizi di comunicazione elettronica. Pertanto, se la violazione dei dati riguarda un database del fornitore che non è specificamente collegato al servizio offerto dallo stesso, ma viene invece utilizzato per uno scopo diverso, ad esempio la gestione del rapporto di lavoro o della contabilità, i nuovi requisiti non applicare.

Detto questo, il Garante per la protezione dei dati Italiano ha riconosciuto che la proposta di regolamento UE sulla protezione dei dati emessa dalla Commissione Europea il 25 Gennaio 2012 prevede requisiti di violazione dei dati in relazione a

112Le definizioni di "rete pubblica di comunicazioni" e "servizio di comunicazioni elettroniche" sono fornite dall’Art. 4, co. 2, lett d) e e) del “Codice in materia di protezione dei dati personali”.

qualsiasi responsabile del trattamento dei dati in base al fatto che gli interessi degli utenti nella notifica non sono limitati al settore delle comunicazioni elettroniche.

L'opportunità di applicare i requisiti delle notifiche di violazione dei dati a tutti i responsabili del trattamento dei dati è stata sottolineata anche dal Gruppo di lavoro art 29 sulla protezione dei dati (Data Protection Working Party) e dalla Commissione Europea in una consultazione pubblica su circostanze, procedure e formati per le notifiche di violazione dei dati personali avviate il 14 Luglio 2011114_.

A questo proposito, vale la pena notare che nel Maggio 2011 il Garante per la protezione dei dati Italiano ha applicato l'obbligo di notifica agli operatori diversi dai fornitori di servizi di comunicazione accessibili al pubblico, in quanto obbligava le banche a notificare prontamente al Garante per la protezione dei dati Italiano qualsiasi violazione dei dati che ha portato alla distruzione, perdita, modifica o divulgazione non autorizzata dei dati personali dei clienti, purché tale violazione sia sufficientemente ampia, in termini di quantità o qualità dei dati coinvolti nella violazione o del numero di soggetti da essa interessati, da giustificare una notifica dovere115_.

Se la fornitura di un servizio di comunicazione elettronica è stata esternalizzata a terzi, questi ultimi cooperano con il fornitore ai fini della conformità ai requisiti di notifica di cui sopra116_.

Tutti i responsabili del trattamento dei dati, anche se non soggetti alle nuove disposizioni in materia di notifica della violazione dei dati, devono in ogni caso attuare le misure minime di sicurezza stabilite dal Codice in materia di protezione dei dati personali e dal relativo allegato B il quale include autenticazione informatizzata, come nome utente e password, uso dei sistemi di autorizzazione o uso di software antivirus117_.

114 Parere No. 1/2011, del 5 Aprile 2011 sull'attuale quadro Europeo per la violazione dei dati personali e raccomandazioni per futuri sviluppi politici.

115 Risoluzione del Garante per la protezione dei dati Italiano del 12 Maggio 2011. 116 Ibid.

117 Art. 34 del ““Codice in materia di protezione dei dati personali”; Allegato B al ““Codice in materia di protezione dei dati personali”.

Secondo le Linee guida, il primo passo per conformarsi ai nuovi requisiti di sicurezza è quello di effettuare una valutazione del rischio, comprese le soglie pertinenti che dovrebbero guidare il fornitore nella scelta delle misure più adeguate ad affrontare la violazione118_.

Ai sensi dell’Articolo 32 del Codice in materia di protezione dei dati personali, i fornitori devono adottare misure tecniche e organizzative adeguate alla luce del rischio esistente.

Le Linee guida identificano le seguenti misure come adeguate119_:

➢ Rendere i dati personali non più disponibili per ulteriori operazioni di trattamento dei dati, mediante cancellazione o anonimizzazione di tali dati;

➢ Attuazione di misure per il controllo delle attività svolte sui dati personali da parte di ciascun responsabile del trattamento;

➢ Prestando particolare attenzione ai dispositivi portatili, al fine di garantire un livello di sicurezza almeno uguale a quello applicato ad altri dispositivi in quanto le violazioni dei dati spesso coinvolgono dispositivi portatili utilizzati da dipendenti e collaboratori al di fuori dei locali del fornitore.

Si prevede che i contributi alla consultazione pubblica suggeriranno ulteriori misure che soddisfano i requisiti di adeguatezza.

Né la Direttiva sulla privacy elettronica né il Codice in materia di protezione dei dati personali specificano quando è necessaria una notifica di violazione dei dati, prevede solo che una notifica debba essere effettuata senza indebito ritardo120_.

118 Ibid. 119 Ibid.

120 Art. 4, co. 3, direttiva e-privacy; Articolo 32-bis, comma 1, del “Codice in materia di protezione dei dati personali”.

Le Linee Guida chiariscono che, entro 24 ore dal riconoscimento di una violazione dei dati, i fornitori devono fornire al Garante per la protezione dei dati Italiano informazioni preliminari tra cui, almeno:

➢ I dati identificativi del fornitore;

➢ Una breve descrizione della violazione dei dati;

➢ La data, anche presunta, in cui si è verificata la violazione dei dati; ➢ Il luogo in cui si è verificata la violazione dei dati;

➢ Una descrizione della natura e del contenuto dei dati in questione;

➢ Una breve descrizione dei sistemi utilizzati per l'elaborazione e la memorizzazione dei dati interessati, compresa la loro posizione.

Entro i 3 giorni seguenti, i fornitori devono inoltrare al Garante per la protezione dei dati Italiano informazioni più dettagliate, tra cui, tra l'altro: le conseguenze della violazione dei dati e le misure proposte o adottate per affrontarle.

Le notifiche possono essere effettuate utilizzando un modulo disponibile tramite il sito Web del Garante per la protezione dei dati Italiano.

I fornitori tengono un inventario aggiornato delle violazioni dei dati personali, inclusi i fatti relativi alla violazione, i suoi effetti e le misure adottate per far fronte alla violazione. Tale inventario aiuterà il Garante per la protezione dei dati Italiano a verificare la conformità con le nuove disposizioni121_.

Secondo le linee guida, la notifica al contraente o ad altre persone i cui dati sono stati colpiti da una violazione (che è dovuta solo in caso di violazioni più gravi, vale a dire se la violazione potrebbe incidere negativamente sui dati personali o sulla privacy di un contraente o un'altra persona fisica) deve essere effettuata entro 3 giorni dal riconoscimento della violazione dei dati. Tuttavia, le violazioni relative alle credenziali di autenticazione, nello specifico nome utente e password, richiedono una notifica immediata.

La notifica non è necessaria se il fornitore è in grado di fornire prova al Garante per la protezione dei dati Italiano che ha implementato misure di sicurezza appropriate volte a rendere i dati incomprensibili a terzi non autorizzati e che tali misure sono state applicate ai dati interessati dalla violazione della sicurezza122_.

Le Linee guida forniscono alcuni esempi di circostanze in cui i dati personali potrebbero essere considerati incomprensibili e pertanto la notifica al contraente o altra persona non è in linea di principio dovuta:

➢ Dati cifrati mediante un algoritmo standardizzato;

➢ Dati sostituiti con un valore di hash mediante tecnologie crittografiche;

➢ Dati resi anonimi in modo tale da rendere impossibile l'identificazione degli interessati.

In ogni caso, se il fornitore non ha già notificato all'appaltatore o ad altri soggetti la violazione dei dati personali, il Garante per la protezione dei dati Italiano può richiederlo a tal fine avendo considerato i probabili effetti avversi della violazione, indipendentemente dal fatto che i dati siano stati resi incomprensibili. Laddove le violazioni coinvolgano un gran numero di persone, le comunicazioni pubbliche o di vasta portata effettuate ad esempio su giornali o radio, dovrebbero essere preferite rispetto alle singole forme di notifica.

La consultazione pubblica dovrebbe anche fornire esempi di violazioni dei dati che potrebbero innescare una notifica al contraente o ad altre persone che, come chiarito, sono dovute esclusivamente se la violazione potrebbe incidere negativamente sui dati personali o sulla privacy di tali soggetti.

Secondo gli orientamenti, la valutazione relativa alla decisione di denunciare violazioni a contraenti o altre persone dovrebbe tenere conto:

➢ Del pregiudizio che la perdita o la distruzione dei dati potrebbe comportare (ad esempio frodi di identità o danni alla reputazione);

➢ Se i dati personali violati sono ancora pertinenti (i dati recenti possono essere più preziosi per i trasgressori);

➢ La qualità dei dati personali (ad es. se una violazione comporta dati sensibili o giudiziari) e la quantità di dati coinvolti nella violazione (ad es. violazioni che coinvolgono un solo dato personale o dati personali non sensibili potrebbero essere esentati dalla notifica).

L'obiettivo della consultazione pubblica su questo argomento è fondamentalmente quello di identificare criteri comuni tra i fornitori per la valutazione del tipo di casi che richiedono notifica agli appaltatori o ad altre persone.

L'uso dei cookie rientra nell'ambito di applicazione degli obblighi di notifica previsti dall’Articolo 37(1) lettera d) del Codice della Privacy Italiano nel caso di “dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”. Pertanto, il loro utilizzo deve essere comunicato all'autorità italiana per la protezione dei dati.

L'obbligo di cui sopra si applica solo ai cookie di profilazione e non a quelli tecnici. Solo i cookie di profilazione, per la loro natura persistente, devono essere notificati al Garante della privacy; al contrario, i cookie che perseguono scopi diversi e che rientrano nell'ambito dei cookie tecnici non richiedono la notifica al Garante della Privacy Italiano.

È importante sottolineare che l'obbligo di notifica è richiesto esclusivamente nel caso in cui il sito Web utilizzi cookie di profilazione di prima parte. In caso di utilizzo di cookie di terze parti, l'editore sarà considerato proprio come intermediario, senza alcuna responsabilità in merito alla sua gestione.

Il GDPR contiene un requisito generale per la notifica da parte del responsabile del trattamento di una violazione dei dati personali all'autorità di controllo e per la notifica di violazioni più gravi anche agli interessati. Una violazione dei dati personali è un concetto ampio, definito come qualsiasi "violazione della sicurezza che porta a distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato a dati personali trasmessi, archiviati o altrimenti elaborati”123_,

Il responsabile del trattamento deve notificare una violazione all'autorità di controllo senza indebito ritardo e, ove possibile, entro 72 ore dalla sua conoscenza, a meno che il responsabile non determini che è improbabile che la violazione comporti un rischio per i diritti e le libertà di persone fisiche.

Quando è probabile che la violazione dei dati personali comporti un rischio elevato per le persone fisiche, il responsabile del trattamento è inoltre tenuto a informare le persone interessate senza indebito ritardo124_.

Laddove la violazione si verifichi a livello del responsabile del trattamento, è necessario informare il responsabile del trattamento senza indebito ritardo nel momento in cui viene a conoscenza della violazione125_.

La notifica all'autorità di controllo deve includere, ove possibile, le categorie e il numero approssimativo di persone e documenti interessati, il nome del responsabile della protezione dei dati dell'organizzazione o altri contatti, le probabili conseguenze della violazione e le misure adottate per mitigare il danno126_.

I responsabili del trattamento sono inoltre tenuti a tenere un registro di tutte le violazioni dei dati, indipendentemente dal fatto che siano state o meno notificate all'autorità di controllo, e a consentire le verifiche del registro da parte dell'autorità di controllo127

123 Art. 29 EU RGPD “Trattamenti sotto l’autorità del titolare del trattamento o del responsabile del trattamento”. 124 Art. 34 del “Codice in materia di protezione dei dati personali”.

125 Art. 33 del “Codice in materia di protezione dei dati personali”. 126 Art. 33 del “Codice in materia di protezione dei dati personali”. 127 Art. 33 del “Codice in materia di protezione dei dati personali”.

In caso di inosservanza del regolamento, saranno applicate sanzioni amministrative elevate, in dettaglio128 129_:

➢ La mancata fornitura di informazioni o la fornitura di informazioni inadeguate comporta sanzioni amministrative consistenti nel pagamento di un'ammenda che va da €6.000 a €36.000;

➢ Al contrario, l'installazione di cookie sulle apparecchiature terminali degli utenti senza il loro previo consenso comporta una sanzione amministrativa consistente nel pagamento di una sanzione pecuniaria che va da €10.000 a €120.000;

➢ Infine, l'incapacità di notificare le operazioni di trattamento al Garante della Privacy o la fornitura di una notifica incompleta comporta una sanzione amministrativa consistente nel pagamento di un'ammenda che varia da €20.000 a €120.000.