Data breach e GDPR, spunti pratici sulla valutazione della gravità e sull’obbligo di notifica

In premessa precisiamo che il presente contributo, ponendosi come fisiologica prosecuzione dell’analisi normativa precedentemente svolta (rinvenibile al seguente link), analizzerà il fenomeno “data breach” con taglio pratico e con l’intenzione di fornire una serie di esempi e di indicazioni utili agli addetti ai lavori.

In particolare, saranno esaminati i profili legati all’eventuale[1] notificazione del breach –prevista agli artt. 33 («notificazione all’Autorità di Controllo») e 34 («notificazione agli interessati») del Regolamento UE 679/2016 (“GDPR” o “Regolamento”)- e l’inevitabile rapporto che sussiste tra quest’onere posto in capo al titolare e la (corretta) valutazione del rischio che la violazione subita possa compromettere diritti e libertà degli interessati coinvolti.

A tal fine risulta assai utile rifarsi ad una serie di esempi pratici riportati all’interno delle linee guida “wp250” dettate dal “Gruppo di Lavoro Articolo 29 per la Protezione dei Dati (WP29)” (in seguito le “Linee Guida”), volti proprio a chiarire in quali circostanze debba avere luogo la notifica e in quali, invece, non sorga tale obbligo in capo al titolare.

Esaminiamoli nel dettaglio.

Caso 1: i dati personali di un gran numero di studenti vengono inviati per errore a una mailing list sbagliata contenente più di 1000 destinatari. In tale circostanza sussisterà sia un evidente rischio per la riservatezza degli interessati, sia un’ampia portata della violazione, entrambi elementi che farebbero propendere per la necessaria notifica della violazione all’Autorità di Controllo e agli interessati coinvolti.

Caso 2: una e-mail di marketing diretto viene inviata ai destinatari nei campi “a:” o “cc:”, consentendo così a ciascun destinatario di conoscere l’indirizzo e-mail di altri destinatari. In tale circostanza la valutazione in merito ai profili di rischio per la riservatezza degli interessati coinvolti è ben più suscettibile di variazioni a seconda delle peculiarità del caso di specie. Ad esempio, qualora gli indirizzi e-mail coinvolti fossero numerosi e, in più, fossero composti dal nome e cognome dell’interessato (es: mario_rossi@….it) e, ancora, la mailing list coinvolta comprendesse i pazienti di uno studio medico specialistico, con ogni probabilità il rischio per i diritti e le libertà dei soggetti coinvolti sarebbe da considerarsi elevato e, conseguentemente, scatterebbe l’obbligo di notifica di cui agli artt. 33 e 34 del GDPR.

Ora, prendendo in esame la medesima violazione, si provi a pensare che gli indirizzi e-mail coinvolti fossero assai limitati e, in più, che tali indirizzi non permettessero la riconducibilità a persone fisiche o, ancora, che fossero riferibili esclusivamente a delle società per azioni. Sussisterebbe ovviamente un rischio ben più limitato per gli interessati, conseguendone la non necessità di ottemperare alla notifica.

Dagli esempi proposti emerge chiaramente come alla base dell’obbligo di notifica sussista la valutazione in merito alla gravità dei profili di rischio per la riservatezza degli interessati coinvolti nella violazione. Di tale circostanza ne è perfettamente consapevole il WP29 che, mediante le proprie Linee Guida, invita espressamente gli addetti ai lavori ad avvalersi delle indicazioni sul punto fornite dall’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (“ENISA”), elaboratrice di una metodologia di valutazione della gravità di una violazione.

In particolare, dalle raccomandazioni elaborate dall’ENISA, emerge la necessità di farsi guidare dai seguenti di criteri quantitativi per la “stima” del breach:

– “Data Processing Context” (“DPC”): tale fattore inerisce alle tipologie dei dati coinvolti (dati comuni, giudiziari, particolari e sensibili), tanto più sarà “sensibile” il dato colpito dal breach tanto più sarà elevato il coefficiente correlato a questo fattore;

–  “Ease of Identification” (“EI”): determina il grado di facilità nell’individuazione dell’identità degli individui coinvolti nella violazione (più bassa è la facilità di identificazione, più basso sarà il coefficiente applicabile);

–  “Circumstances of Breach” (CB): quantifica le specifiche circostanze della violazione classificate secondo tre tipologie di breach (perdita di riservatezza, integrità e disponibilità).

Una volta attribuiti dei valori a tali coefficienti il livello di gravità della violazione si ricaverà dalla seguente formula matematica SE[2] = DPC x EI + CB. Il risultato ottenuto permette di qualificare la gravità della violazione in una delle seguenti categorie: bassa, media, alta e molto alta. Si precisa inoltre che, al risultato finale ottenuto, potranno essere aggiunti ulteriori indici che non sono considerati nella metodologia ENISA (ad esempio il dato attinente al numero degli interessati coinvolti).

Qualora, a seguito della valutazione svolta, sorgesse la necessità di procedere alla notifica della violazione subita all’Autorità di controllo competente (art. 33 GDPR), è utile precisare che ENISA, nel 2016, in cooperazione con l’Autorità Garante per la protezione dei dati personali tedesca, ha sviluppato un tool per notificare ogni eventuale violazione di dati personali all’Autorità competente[3]; il tool può essere utilizzato per ogni tipologia di dati oggetto di violazione, oltre che in ogni settore, sia pubblico che privato. A tanto si aggiunga che, per quanto attiene al contesto italiano, anche il Garante Privacy ha predisposto un modello per la notificazione di data breach[4] che, per quanto risalente alla previgente disciplina normativa, ben può prestarsi per essere attualizzato al GDPR con le dovute accortezze[5].

In ogni caso, si consiglia di allegare la prova digitale del breach subito (acquisita in conformità con i dettami dell’informatica forense) e di predisporre una relazione (a cura del titolare o del nominato DPO) comprendente: i) la natura della violazione; ii) le categorie e il numero di interessati; iii) le probabili conseguenze del breach; iv) i rimedi approntati (e approntandi) alla violazione.

[1] Come noto il GDPR non prevede un obbligo di notifica tout court, bensì calibrato alle circostanze proprie del caso di specie.

[2] Per tale intendendosi la “severity” (quindi la “gravità”) della violazione.

[3] Si rimanda al seguente link “https://www.enisa.europa.eu/topics/data-protection/personal-data-breaches/personal-data-breach-notification-tool” per ulteriori informazioni.

[4] Rinvenibile al seguente link “https://www.garanteprivacy.it/documents/10160/0/Allegato+1+Modello+segnalazione+data+breach+PA.pdf”.

[5] Si precisa che l’eventuale notifica andrà indirizzata al Garante utilizzando il seguente indirizzo p.e.c. “protocollo@pec.gpdp.it”, tanto è indicato dalla stessa Autorità (“https://www.garanteprivacy.it/regolamentoue/databreach”).