5. Il regime degli obblighi a carico del titolare del trattamento alla
5.5. La nuova disciplina relativa alle violazioni dei dati personal
precipitato normativo del “risk-based approach” e si collocano idealmente a valle della sequenza del complessivo “programma di conformità alla protezione dei dati personali”, prefigurato attraverso le regole sinora esaminate.
Negli ultimi anni, complice la sempre maggiore interconnessione tra sistemi telematici e informatici a livello globale, si sono moltiplicati gli episodi di clamorose falle nella sicurezza e di massicce fughe di dati299.
Con la riforma il legislatore europeo mira altresì a superare la noncuranza ancora troppo diffusa tra le imprese e a contrastare la tendenza a sottovalutare rischi di infiltrazioni nei sistemi di gestione
298
Per un bilancio - positivo - di tale esperienza, si veda EUROPEAN DATA PROTECTION SUPERVISOR, Position paper on the role of Data Protection
Officers (DPO) in ensuring effective compliance with Regulation (EC) No 45/2001,
28.11.2005.
299
Per chiarire che tale minaccia incombe anche nei confronti delle società di grandi dimensioni e presumibilmente dotate di livelli superiori di sicurezza, basterà ricordare il caso di un colosso come la Sony Pictures, che nel 2014 ha subito un attacco da parte di hacker, che sono riusciti a entrare in possesso anche di informazioni personali relative ai dipendenti e alle loro famiglie, alle e-mail scambiate tra i dipendenti medesimi e alle rispettive retribuzioni.
156
dei dati personali, nella consapevolezza delle profonde implicazioni che ne possono derivare.
Nel considerando 85 si osserva che <<Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata>>.
A sottolineare la centralità della nozione di violazione dei dati personali, se ne offre per la prima volta una definizione nell’art. 4, par. 12:<<violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati>>.
Nell’ottica di un piano di azione immediata di fronte a intrusioni nei sistemi informativi, gli articoli 33 e 34 del regolamento introducono, rispettivamente, un obbligo di notificazione della violazione dei dati personali all’autorità di controllo e un obbligo di comunicazione nei confronti dell’interessato.
In caso di violazione dei dati personali, il titolare del trattamento deve provvedere a notificare la violazione all’autorità garante senza ingiustificato ritardo.
Per quanto riguarda la tempistica della notificazione, si riscontra una significativa differenza tra la proposta originaria della Commissione e il testo finale del regolamento. Inizialmente era stata prevista una “finestra” di sole 24 ore, ma tale limite era stato criticato sia dal
157
Garante Europeo300, sia dal Gruppo di lavoro Articolo 29301, perché risultava scarsamente realistico e rischiava di minare l’attuabilità della regola. Il Consiglio, accogliendo il suggerimento del Garante Europeo, ha optato per un termine più ampio, stabilendo che la notificazione debba essere effettuata, ove possibile, <<entro 72 ore dal momento in cui [il titolare del trattamento] ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo>> (art. 33, par. 1). Il rispetto di tale margine temporale è presidiato dall’imposizione di un ulteriore onere di carattere motivazionale, che scatta nell’ipotesi di inosservanza del limite delle 72 ore.
La notificazione dovrà soddisfare alcuni requisiti contenutistici minimali. In particolare essa dovrà:
<<a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati
300
EUROPEAN DATA PROTECTION SUPERVISOR, Opinion of the European
Data Protection Supervisor on the data protection reform package (7.3.2012), p.
32.
301
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI,
Parere 01/2012 sulle proposte di riforma in materia di protezione dei dati (WP
158
personali e anche, se del caso, per attenuarne i possibili effetti negativi>> (art. 33, par. 3)302.
L’obbligo di comunicare tempestivamente all’interessato l’avvenuta violazione dei dati personali che lo riguardano, a differenza dell’obbligo di notificazione nei confronti dell’autorità di controllo, è subordinato al presupposto che la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà individuali.
Il legislatore prescrive che la comunicazione spieghi con un linguaggio chiaro e semplice la natura della violazione che si è verificata e indichi almeno i profili di cui all'art. 33, par. 3, lett. b), c) e d).
Peraltro l’ambito dell’obbligo di comunicazione nei confronti dell’interessato è ulteriormente circoscritto dalla previsione di esenzioni in favore del titolare del trattamento al ricorrere in via alternativa di una delle seguenti condizioni:
<<a) […] ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) […] ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati […];
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura
302
Vale la pena di segnalare che il regolamento inserisce, sempre in questa sede, una disposizione che costituisce una specifica concretizzazione del generale obbligo di rendicontazione. Si riporta il par. 5 dell’art. 33:<<Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo>>. Questa norma potrebbe comportare oneri non indifferenti per il titolare del trattamento.
159
simile, tramite la quale gli interessati sono informati con analoga efficacia>>.
Con la disciplina sulla notificazione delle violazioni dei dati il regolamento riprende e sviluppa un approccio già sperimentato in passato. In particolare si estende un obbligo inizialmente contemplato in un settore specifico, il ramo delle telecomunicazioni303, all’intero ambito della protezione dei dati personali, vincolando qualsiasi organizzazione che nell’espletamento delle sue attività si trovi a trattare dati personali.
Il Gruppo di lavoro Articolo 29 aveva espresso perplessità in ordine all’ampio spettro operativo dell’obbligo di notifica nei confronti delle autorità di controllo e aveva suggerito di restringerne la portata, evidenziando che altrimenti le autorità di supervisione sarebbero state inutilmente oberate da un carico eccessivo di lavoro, senza poter discriminare tra violazioni, che potrebbero incidere significativamente sui diritti degli interessati, e violazioni minori304. Si sarebbe potuto ipotizzare, a titolo esemplificativo, di assumere il grado di “sensibilità” delle informazioni come uno dei parametri per individuare la soglia di allarme idonea a far sorgere l’obbligo di notificazione.
Questi nodi problematici non valgono, tuttavia, a sminuire gli intenti lodevoli che animano l’iniziativa di riforma.
L’inserimento di questi obblighi informativi si prefigge, infatti, una triplice finalità:
allertare tempestivamente le autorità di supervisione, in modo da agevolare e rendere più proficuo l’esercizio dei loro poteri di indagine;
303
V. l’art. 4, par. 3 della direttiva 2002/58/CE, che ha per destinatari soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico.
304
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI,
Parere 01/2012 sulle proposte di riforma in materia di protezione dei dati (WP
160
consentire agli interessati di prendere immediatamente misure per mitigare i danni derivanti dalla violazione della sicurezza dei dati (per esempio, bloccare una carta di credito clonata)305; indurre le imprese a sviluppare meccanismi sofisticati di protezione, al fine di prevenire eventuali incursioni di terzi nel sistema di gestione dei dati personali. Il timore di andare incontro a danni di reputazione e d’immagine, con conseguente perdita di fiducia da parte della clientela, rappresenterebbe per gli operatori un forte incentivo ad adottare maggiori precauzioni e a innalzare la soglia di sicurezza.
Pertanto gli obiettivi perseguiti sono pienamente condivisibili, ma il limite prima segnalato potrebbe creare disfunzioni nella concreta implementazione della normativa da parte delle autorità di controllo.