Adempimenti tecnico-giuridici nell’ambito di una violazione di dati personali
Quali sono i doveri di un’azienda quando si verifica un episodio di violazione di dati personali? Una disamina degli adempimenti tecnico-giuridici con particolare attenzione ai profili di data protection e a quelli penalistici.
È ormai sempre più frequente che aziende italiane e straniere subiscano episodi di violazione di dati personali c.d. “data breach”, ossia un evento che determina la distruzione, la perdita, la divulgazione o l’accesso non autorizzato ai dati di una persona fisica [1].
Con l’avvento delle nuove tecnologie, il rischio che possa verificarsi un “data breach” è in aumento e variabile in base alla tipologia di attività svolta ed alle misure di sicurezza organizzative e tecniche implementate.
Considerando che dal 2018 gli attacchi informatici sono cresciuti del 53%, raggiungendo al livello globale una media mensile di circa 190 gravi attacchi [2], è importante che le imprese siano consapevoli degli adempimenti di natura tecnica e giuridica necessari, al fine di garantire una tutela efficace e prevenire il verificarsi di tali episodi.
ADEMPIMENTI TECNICI
Dal punto di vista della sicurezza informatica di una società, sarebbe bene dotarsi di un “Chief Information Security Officer” (“CISO”) che si occupi dell’implementazione di un programma per la sicurezza e della definizione di best practice, al fine di diminuire i rischi legati all’adozione di nuove tecnologie.
La presenza di tale figura, oggi non particolarmente diffusa nelle aziende italiane, garantirebbe inoltre il rafforzamento delle attività di controllo in tema di protezione dei dati personali dei soggetti interessati.
Nel caso in cui si verifichi un data breach, sarebbe opportuno richiedere al CISO o al responsabile/referente informatico la predisposizione di una relazione tecnica nella quale, oltre alla descrizione fattuale, vengano specificate le misure di sicurezza tecniche ed organizzative già implementate da parte della società e quelle adottate in risposta al data breach (es. la modifica delle password dei servizi compromessi, le tempistiche di intervento e le possibili conseguenze dell’evento).
Inoltre, tale relazione tecnica predisposta potrebbe essere richiesta anche dall’Autorità Garante per la Protezione dei Dati Personali, in caso di investigazione. È consigliato altresì trasmettere la relazione tecnica alla figura che all’interno dell’azienda si occupa di data protection, al fine di valutare se sia o meno necessario notificare il data breach al Garante della Privacy e/o agli interessati.
ADEMPIMENTI GIURIDICI IN MATERIA DI DATA PROTECTION
Sul piano giuridico, con riguardo ai profili di data protection, gli adempimenti che l’azienda è tenuta ad assolvere in caso di data breach sono i seguenti [3]:
- tenere traccia dell’episodio nel registro dei data breach [4];
- valutare la gravità della violazione, avvalendosi della persona esperta in materia di privacy;
- eventualmente, notificare la violazione al Garante della Privacy e agli interessati ai sensi degli artt. 33 e 34 del Reg. UE 679/2016 (“GDPR”).
Il registro dei data breach può essere redatto tramite la predisposizione di un file Excel/Word oppure gestito attraverso l’utilizzo di un software per la gestione della privacy. In quest’ultimo caso, si segnala che sono presenti sul mercato alcuni software in grado di valutare i rischi della violazione per i diritti e le libertà dei soggetti interessati sulla base di una serie di informazioni inserite a sistema (es. le misure di sicurezza), suggerendo dunque di procedere con le notifiche sopra menzionate. Tuttavia, è consigliabile che la valutazione venga confermata da un esperto in materia di data protection.
La notifica all’Autorità Garante per la Protezione di Dati Personali deve essere effettuata senza ingiustificato ritardo ed entro 72 ore dal momento in cui l’azienda è venuta a conoscenza della violazione.
Con riguardo agli adempimenti richiesti ad una società vittima di un data breach facente parte di un gruppo imprenditoriale, in aggiunta a quelli sopramenzionati, si ricorda che possono essere introdotte specifiche procedure intercompany, secondo cui – ad esempio - è facoltà della società controllante richiedere alle società controllate la comunicazione dei presunti casi di violazione dei dati personali.
PROFILI PENALISTICI
Con riguardo ai profili penalistici, l’entrata in vigore del GDPR che a fronte dell’emanazione del D.lgs n. 101 del 2018 [5] ha novellato il Codice della Privacy (D.lgs 196 del 2003)[6], ha portato ad una modifica dell’impianto sanzionatorio e all’introduzione di nuovi reati aventi ad oggetto la violazione di norme in materia di trattamenti dei dati personali [7].
Nel caso in cui si venga a conoscenza di episodi che potrebbero comportare un trattamento illecito di dati, si suggerisce dunque di presentare denuncia o querela alle autorità competenti (es. nel caso di furto o smarrimento di device aziendali). Per la predisposizione della denuncia/querela è consigliabile farsi assistere da un legale e includere tutte le informazioni tecniche e giuridiche relative all’episodio.
Infine, si segnala che l’art. 167 Codice della Privacy, così come modificato, prevede un meccanismo di coordinamento tra autorità giudiziaria e autorità di controllo circa quanto raccolto in sede amministrativa o giudiziaria, onde evitare sovrapposizioni tra procedimenti.
[1] https://www.garanteprivacy.it/data-breach
[2] https://www3.weforum.org/docs/WEF_The_Global_Risks_Report_2022.pdf
[3] Guidelines 9/2022 on personal data breach notification under GDPR , EDPB (Guidelines 9/2022 on personal data breach notification under GDPR | European Data Protection Board (europa.eu))
[4] https://www.federprivacy.org/attivita/data-breach-il-registro-delle-violazioni
[5] https://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg
[6] https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2003-06-30;196
[7] https://www.treccani.it/enciclopedia/tutela-penale-della-privacy_%28Diritto-on-line%29/