3. La nuova normativa in materia di cyber risk
3.1 Il regolamento generale sulla protezione dei dati: il GDPR
3.1.3 Obbligo di notifica di violazioni informatiche
Una delle novità di maggior rilievo del GDPR è l’introduzione dell’obbligo di notifica delle violazioni informatiche. Si tratta di un obbligo coerente con il contesto attuale, caratterizzato da fenomeni sempre più frequenti di frodi informatiche e violazioni di dati personali, oggi all’ordine del giorno grazie alle numerose “opportunità” offerte dalla tecnologia.
L’art.4 del GDPR fornisce una definizione di violazione di dati personali: si tratta di una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione,
la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
In base a tale definizione, il GDPR fa rientrare le violazioni di dati personali tra le violazioni di sicurezza, anche se questa categoria comprende molte altre tipologie di eventi. Secondo il Regolamento la violazione di dati personali è un fenomeno che può avvenire inconsapevolmente oppure con dolo, e può provocare conseguenze gravi, come l’accesso ai dati personali, la diffusione degli stessi dati, l’alterazione, la distruzione e talvolta la perdita dei dati sensibili.
Il Regolamento, vista la delicatezza e l’importanza della questione, ha deciso di mettere in rilievo il tema delle violazioni dei dati personali, prevedendo l’obbligo in capo al titolare del trattamento di comunicare eventuali incidenti di sicurezza alle autorità competenti.
In particolare, l’art.33 del GDPR prevede che il titolare del trattamento debba notificare la violazione dei dati personali senza ingiustificato ritardo e possibilmente entro 72 ore dal momento in cui ne è venuto a conoscenza. Il Gruppo di lavoro articolo 29 ritiene che il titolare venga a conoscenza della violazione nel momento in cui egli dispone di un ragionevole grado di certezza sull’accadimento dell’incidente di sicurezza e sulla compromissione dei dati personali83. Lo stesso Gruppo di lavoro sostiene che la consapevolezza dell’avvenimento della violazione dipende dalle circostanze specifiche dell’incidente: in alcuni casi è chiaro fin dall’inizio che c’è stata una violazione, mentre
83 Article 29 data protection working party, “Guidelines on Personal data breach notification under
85
in altre circostanze non è possibile comprendere nell’immediato se si è verificata o meno una violazione dei dati personali84.
Dopo essere venuto a conoscenza della violazione, il titolare dispone di un breve periodo di tempo per stabilire se l’incidente di sicurezza è avvenuto realmente oppure no. Superata questa fase d’indagine vi è l’obbligo per il titolare del trattamento di notificare la violazione all’autorità competente “senza ingiustificato ritardo”: il GDPR dunque non specifica il limite temporale entro cui deve avvisare l’autorità, anche se nella norma è ravvisabile l’incentivo a farlo nel più breve tempo possibile.
Il comma 3 dell’art.33 fornisce indicazioni sul contenuto minimo della notifica, anche se non è escluso che l’autorità competente possa richiedere ulteriori dettagli nell’ambito dell’indagine sulla violazione informatica.
A seconda della natura della violazione, un’indagine più veloce può essere necessaria per stabilire tutti i fatti più rilevanti relativi all’incidente informatico85. A tal proposito, il
comma 4 dell’art.33 recita così: “qualora e nella misura in cui non sia possibile fornire
le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo”. Il GDPR dunque concede, in alcuni casi di data
breach complessi, un maggior lasso di tempo per fornire ulteriori dettagli utili sull’incidente che non possono essere raccolti durante il periodo iniziale d’indagine86.
Il comma 1 dell’art.33 prevede un’eccezione riguardo all’obbligo di notifica all’autorità di controllo competente, in particolare qualora “sia improbabile che la violazione dei dati
personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Dunque il
GDPR ritiene necessaria la comunicazione dell’incidente di sicurezza informatica solo se quest’ultimo può pregiudicare e limitare i diritti e le libertà altrui87.
Il comma 5 dell’art.33 riporta al concetto di responsabilizzazione del titolare del trattamento: infatti esso prevede che il titolare debba fornire all’autorità di controllo una documentazione contenente “qualsiasi violazione dei dati personali, comprese le
circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi
84 È il caso di un attacco ransomware nei confronti di una banca, dove l’hacker contatta l’istituto di credito
per chiedere un riscatto e in tale circostanza l’istituto di credito comprende subito che c’è stato un attacco informatico.
85 Article 29 data protection working party, “Guidelines on Personal data breach notification under
Regulation 2016/679”, Ottobre 2017, pag.12.
86 In questo caso il titolare deve dare adeguate motivazioni che giustifichino il ritardo nella fornitura delle
informazioni.
87 Un esempio in tal senso fornito dalle Linee guida è costituito da dati personali che sono già resi
disponibili pubblicamente e la cui diffusione non costituisce un rischio per i diritti e le libertà della persona fisica cui i dati si riferiscono.
86
rimedio”. Tramite tale documentazione l’autorità può verificare il rispetto di quanto
disposto dall’art.33.
Anche l’art.34 del GDPR si occupa della notifica di violazioni di dati personali, in particolare tratta della comunicazione della violazione all’interessato: in alcuni casi infatti, il titolare del trattamento non è obbligato solo a notificare la violazione all’autorità competente, ma è anche tenuto a comunicare il data breach alle vittime dell’evento dannoso, ovvero agli interessati.
In particolare, nel comma 1 dell’art.34 si legge che, nei casi in cui è probabile che vi sia un rischio elevato di compromissione dei diritti e delle libertà delle persone fisiche in seguito ad una violazione di dati personali, allora i soggetti interessati devono essere informati dal titolare del trattamento. Il GDPR precisa che tale comunicazione deve avvenire il prima possibile, ossia senza ingiustificato ritardo, al fine di mitigare l’impatto negativo della violazione.
Un esempio recente di applicazione degli art.33 e 34 del GDPR in ambito bancario è quello relativo all’attacco informatico subìto da Unicredit nel 2017, che ha coinvolto dati relativi a prestiti personali di circa 400.000 clienti. Trattandosi di un episodio di violazione di dati personali, Unicredit ha prontamente adempiuto agli obblighi previsti dagli articoli 33 e 34, notificando immediatamente l’accaduto alle autorità competenti e informando tempestivamente i clienti vittime dell’incidente di sicurezza.
Per concludere, si può osservare come il GDPR abbia rivoluzionato le regole in materia di adempimenti privacy nei confronti di tutte le banche europee, introducendo un ulteriore obbligo per gli istituti di credito (e in generale per ogni titolare di trattamenti di dati personali) sancito dall’art.30: si tratta dell’obbligo di tenere un registro delle attività di trattamento svolte sotto la responsabilità del titolare.
Il nuovo Regolamento Europeo sulla protezione dei dati personali rappresenta un’occasione non solo per rafforzare la sicurezza bancaria a fronte di attacchi informatici sempre più frequenti, ma anche per far sì che i dati diventino un valore aggiunto e costituiscano un vantaggio competitivo in un contesto caratterizzato dalla presenza del fattore “digital”.