GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/773/01.jpg
venerdì 7 aprile 2023
di Dott. Alessandro Mammoli
Notifica data breach: l'EDPB aggiorna le linee guida sulle modalità, le tempistiche e la forma comunicativa.
L' European Data Protection Board ha aggiornato le linee guida in tema di notifica dei data breach. La prima versione delle Linee Guida fu approvata pochi mesi dopo l'entrata in vigore del GDPR. Col trascorrere del tempo, però, si sono resi necessari alcuni aggiustamenti sia per armonizzare le linee guida alla casistica sviluppatasi in vigenza di GDPR, sia per aggiornare queste indicazioni allo stato dell'arte della tecnologia.
Le linee guida 09/2022 sono state adottate il 28 Marzo 2023 dopo una consultazione pubblica aperta lo scorso ottobre. Con un attenzione particolare al meccanismo detto "one-stop-shop" per il quale si rende possibile la notifica di un data breach ad una sola autorità.
Le modifiche proposte in corso di consultazione pubblica e confluite nella versione finale riguardano il paragrafo 70 e successivi delle linee guida. Si concentrano sul caso del titolare del trattamento dati che non ha una sede all'interno dell'UE, ad esempio una azienda statunitense che non abbia una rappresentanza nell'Unione. Le modifiche stabiliscono che, in questo caso, la notifica di data breach vada inviata all'autorità garante di ogni stati membro i cui cittadini siano riguardati dalla violazione dei dati.
In breve, per questi soggetti, le nuove linee guida escludono esplicitamente l'applicazione del meccanismo "one-stop-shop". La precedente versione, in questo caso, riteneva sufficiente la notifica del data breach all'autorità garante del paese presso cui risiedeva il rappresentante. Adesso invece la notifica dovrà avvenire verso le autorità garanti dei vari paesi, in base agli interessati coinvolti.
Questa modifica accende i riflettori sulle modalità di progettazione dei database. Ad un titolare del trattamento viene infatti richiesto, nell'immediato dell'attacco e entro le 72 ore come previsto dal GDPR, di avere chiara la "suddivisione geografica" degli interessati. Alcuni esperti esprimono perplessità anche in relazione alle modalità con cui tali informazioni dovranno essere acquisite e poi utilizzate per adempire a tali obblighi.
Anche l'Allegato VII delle Linee Guida ha visto modifiche. In dettaglio nella parte che dettaglia i passaggi che gli operatori devono seguire in caso di data breach. Ecco il diagramma operativo aggiornato
Il testo aggiornato delle Linee Guida integra anche una nuova serie di esempi di data breach che sono soggetti all'obbligo di notifica. Lascia qui un pò di perplessità la maniera in cui viene concepito qui il registro dei data breach. Dalla lettura del testo emerge che il registro dei data breach deve diventare un elenco molto dettagliato di ogni violazione dei dati personali, indipendentemente dalla gravità e dai reali rischi ai quali espone gli interessati.
Per fare un esempio, le linee guida inseriscono nel novero dei data breache anche brevi interruzioni dell'energia elettrica che dovessero impedire, anche per qualche minuto, le attività di un call center che abbia, tra le sue funzioni, quello di contatto tra interessati e titolari per l'esercizio dei diritti. Sottolineiamo: le nuove linee guida non introducono, per questo caso, l'obbligo di notifica, ma la necessità di aggiornare il registro dei data breach.
Un altro esempio inserito nelle linee guida è quello della compromissione di dati già disponibili pubblicamente o, addirittura, criptati. Anche in questo caso viene previsto l'aggiornamento del registro dei data breach.
Infine le Linee Guida definiscono anche un altro aspetto che è molto concreto. L'art 33 del GDPR specifica:
"in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza" .
Ma, concretamente, da quando inizia il decorso delle 72h concesse al titolare del trattamento, o chi per lui, per notificare all'autorità garante e agli interessati un data breach?
L'EDPB anzitutto spiega che la previsione va inquadrata entro una visione precisa, quella per cui il titolare, avendo "adottato misure tecnico-organizzative a protezione dei dati", viene rapidamente a conoscenza della violazione subita. Prendere tardivamente consapevolezza di una violazione è indice di scarsa o inadatta organizzazione aziendale in termini di conformità normativa e implementazione di misure tecniche a protezione dei dati.
Ecco che l'EDPB fornisce ai titolari, alcune "dritte", elencando dei "momenti in cui il titolare viene a conoscenza" di una violazione. Ad esempio:
Questo è il "momento" e inizia il decorso delle 72 ore.
Dal momento in cui il titolare viene a conoscenza di un data breach deve, anzitutto, comprenderne le caratteristiche. L'EDPB specifica che il titolare deve verificare:
Per concludere, l'EDPB delinea anche alcune previsioni rispetto alla comunicazione che il titolare deve rivolgere agli interessati vittime di data breach:
lunedì 25 novembre 2024
Leggi tutto...venerdì 15 novembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!