Data Breach: il gruppo articolo 29 pubblica la versione definitiva delle linee guida sulla procedura di data breach ai s...
Il Gruppo di lavoro ex art. 29 (“WP29”) ha adottato il 6 febbraio 2018 la versione definitiva delle linee guida sulla notifica delle violazioni dei dati personali (cd. “Data Breach”) ai sensi del Regolamento UE n. 679/2016 (cd. “GDPR”).
Nel documento in esame, il WP29 ha ricordato che il Data Breach consiste in una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Il WP29, riprendendo la distinzione già operata nel suo precedente parere 03/2014, suddivide la violazione dei dati personali in tre categorie:
– “Confidentiality breach”: in caso di divulgazione o accesso non autorizzato o accidentale a dati personali;
– “Availability breach”: in caso di alterazione non autorizzata o accidentale di dati personali;
– “Integrity breach”: in caso di modifica non autorizzata o accidentale di dati personali.
Ai sensi dell’articolo 33, primo comma, del GDPR, in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’Autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Il GDPR ammette che i titolari del trattamento possano non essere in possesso di tutte le informazioni relative alla violazione nelle 72 ore successive al suo verificarsi. In tale ipotesi, il WP29 ha chiarito che i titolari hanno la possibilità di comunicare entro il termine di legge all’Autorità di controllo la sola violazione subita, per poi fornire in un successivo momento tutte le informazioni richieste dal suddetto art. 33, corredandole con i motivi del ritardo.
Il WP29 ha illustrato, inoltre, uno scenario in cui il titolare del trattamento, venendo a conoscenza di una prima violazione, si ritrovi, prima della notifica, a rilevare altre violazioni simili, ma con cause diverse. In tal caso, a seconda delle circostanze, il WP29 ha chiarito che il titolare, invece di notificare ogni singolo Data Breach, potrà provvedere con un’unica notifica contenente le diverse violazioni, qualora tali violazioni riguardino le stesse categorie di dati e si siano verificate tramite le stesse modalità, in un arco temporale ristretto. Qualora, invece, le violazioni riguardino categorie diverse di dati personali e si siano verificate tramite differenti modalità, il titolare dovrà effettuare una notifica specifica per ciascuna violazione riscontrata, in conformità all’articolo 33 del GDPR.
Qualora una violazione dei dati personali coinvolga dati di persone fisiche in più Stati Membri, il titolare deve notificare la violazione all’Autorità di controllo capofila. Inoltre, l’articolo 27 del GDPR impone al titolare del trattamento (e al responsabile del trattamento) di designare un rappresentante nell’UE in caso di applicazione dell’articolo 3, comma 2, del GDPR. In tali casi, il WP29 raccomanda che la notifica sia fatta all’Autorità di controllo dello Stato membro in cui è stabilito il rappresentante del titolare del trattamento nell’ UE.
Il WP29 sottolinea che il titolare del trattamento dovrà documentare tutte le violazioni che si siano verificate, indipendentemente dall’obbligo di notifica, al fine di poter dimostrare la conformità al GDPR del trattamento effettuato. Come previsto dall’articolo 33, comma 5, del GDPR, il titolare del trattamento deve registrare i dettagli relativi alla violazione, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Il GDPR non specifica un periodo di conservazione per tale documentazione. Qualora tali registrazioni contengano dati personali, spetta al titolare del trattamento determinare il periodo appropriato di conservazione conformemente ai principi relativi al trattamento dei dati personali e indicare base legale per il trattamento. La documentazione dovrà essere conservata, in conformità all’articolo 33, comma 5 del GDPR, nella misura in cui tale documentazione consenta all’Autorità di controllo di verificare il rispetto di tale articolo o, più in generale, del principio di responsabilizzazione.
Oltre a questi dettagli, il WP29 raccomanda al titolare di documentare la motivazione delle decisioni prese a seguito di una violazione. In particolare, se una violazione non è stata notificata, occorre documentare la motivazione circa tale decisione. Ciò dovrebbe ricomprendere i motivi per cui il titolare del trattamento ritiene improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche. In alternativa, se il titolare del trattamento ritiene che sussistano le condizioni di cui all’articolo 34, comma 3, del GDPR, deve essere in grado di provare adeguatamente che sussistano tali condizioni.