Data breach: alcune osservazioni sulle linee guida europee
Con l’approssimarsi della data in cui sarà applicativo il GDPR (“RGPD” nell’acronimo italiano), va intensificandosi l’elaborazione di linee guida europee. Nell’ottobre 2017 sono state finalmente pubblicate quelle in materia di data breach, tra le più attese, successivamente rivedute e rese definitive il 6 febbraio 2018 (rev.01). Al momento in cui si scrive sono disponibili esclusivamente nella versione in lingua inglese. L’occasione è preziosa per alcune riflessioni
La nozione giuridica di data breach e quella corrente
Innanzitutto, va posta una questione concettuale. L’espressione “data breach”, infatti, assume in diritto connotazioni più estese di quelle correnti soprattutto in contesti strettamente tecnico-informatici. Occorre tenerlo presente.
Il data breach giuridico, o “violazione dei dati personali” nella traduzione italiana, include certamente l’attacco a sistemi informatici, l’intrusione o il data leak, dunque situazioni in cui l’intervento malevolo di terzi è manifesto, ma comprende pure una serie di ipotesi ulteriori, anche del tutto interne alla struttura del titolare o del responsabile del trattamento, dovute per esempio a negligenza o a incuria. Già la mera associazione o interconnessione indebita di dati personali o l’accessibilità degli stessi a ruoli interni non autorizzati costituiscono data breach.
In definitiva, una violazione dei dati personali implica sempre una violazione di sicurezza, da intendere non solo nel senso di sicurezza informatica ma anche in quello di sicurezza organizzativa e può anche prescindere del tutto da vulnerabilità IT.
Data breach e continuità operativa
Va inoltre precisato – e si tratta di un punto da sottolineare – che l’area di ciò che rileva in termini di data breach include ipotesi di significativa, ma temporanea, alterazione della continuità operativa di un sistema informatico che non abbiano dato luogo né a compromissione dell’integrità dei dati né alla loro indebita conoscenza.
Questa è almeno la posizione espressa dal Gruppo di lavoro dei Garanti europei. A pag. 31 viene proposto l’esempio dell’inaccessibilità limitata nel tempo ai dati personali trattati da un call center dovuta a un guasto della rete elettrica: «A brief power outage lasting several minutes at a controller’s call centre meaning customers are unable to call the controller and access their records». Tendenzialmente, il concetto di data breach viene qui a essere equiparato a quello di rilevante discontinuità nel normale funzionamento di un sistema informatico.
Vale la pena di approfondire la ratio di questa posizione, sia perché rende leggermente sfumati i bordi del concetto di violazione dei dati personali (e ciò ha ricadute pratiche) sia perché testualmente l’art. 4.12) GDPR, nel definire il concetto di violazione lo salda al termine «sicurezza» e lo sostanzia nella «distruzione» dei dati personali o nella «perdita», «modifica», «divulgazione», «accesso», ossia eventi diversi da una mera indisponibilità temporanea degli stessi.
A ben guardare tuttavia, l’art. 32 GDPR, espressamente dedicato al profilo della sicurezza, contempla al paragrafo 1, lett. b) anche «la capacità di assicurare su base permanente… la disponibilità e la resilienza dei sistemi e dei servizi di trattamento». L’interruzione temporanea di un servizio costituisce cioè un availabilty breach, ossia una violazione della disponibilità dei dati personali, sotto il profilo della continuità (disponibilità «permanente», meglio indicata nel testo inglese con l’aggetto «ongoing», continuo).
Data breach: concetto non nuovo, disciplina nuova
Del resto, che per data breach possa intendersi anche (con la dovuta attenzione alle particolarità di ciascun caso) un availabilty breach era stato già chiaramente espresso in passato dal Gruppo di lavoro ex art. 29 nell’Opinione 3/2014, che aveva individuato un modello tripartito di violazione dei dati, a seconda che a essere colpita fosse:
- la confidenzialità delle informazioni (confidentiality breach);
- la loro disponibilità (availability breach);
- la loro integrità (integrity breach).
Sono ovviamente ben possibili compromissioni multiple.
È interessante notare che le linee guida oggi in commento rivendichino una continuità di ragionamento rispetto all’opinione citata. Si tratta di uno degli esiti di quel faticoso lavoro di rassegna, conservazione e aggiornamento del cospicuo patrimonio di pensiero giuridico elaborato negli anni dai Garanti europei, e conforta constatarne l’ottima tenuta nel tempo.
L’esistenza di una precedente elaborazione giuridica in materia di data breach non deve del resto meravigliare: la violazione di dati non costituisce assolutamente un concetto nuovo, tanto è vero che la definizione contenuta all’art. 4.12) GDPR trova una corrispondenza pressoché esatta nell’attuale codice privacy (d.lgs. 196/03), all’art. 4.3.g-bis), che a sua volta recepisce la definizione contenuta all’art. 2.i) della direttiva 2002/58/CE.
Ciò che è nuovo e rappresenta uno dei portati più interessanti del Regolamento è invece la rivoluzionaria estensione della disciplina del data breach, che da settoriale (servizi di comunicazione accessibili al pubblico, oltre ad altre ipotesi regolate da fonti diverse) si trasforma in generale, ossia applicabile a tutti i titolari di trattamento indipendentemente dalla tipologia di attività svolta.
Notificazione e comunicazione del data breach
La nuova disciplina generale introduce obblighi sinteticamente declinati agli artt. 33 – 34 GDPR, che fissano concisamente requisiti, tempistica, coordinamento con l’Autorità e altre attività interne ed esterne.
È necessario ricordare che non tutti i data breach determinano l’obbligo di notificazione al Garante e che non tutti quelli notificati vanno poi comunicati agli interessati (con le evidenti conseguenze, reputazionali e organizzative che la comunicazione comporta).
L’elemento dirimente è costituito dalla valutazione del rischio stimato per i diritti e le libertà degli interessati, quale conseguenza della violazione dei dati personali.
Ove il rischio non sia probabile, il titolare non procederà alla notificazione al Garante e ovviamente neppure alla comunicazione agli interessati. Tuttavia sarà tenuto a tenere traccia dell’evento (art. 33.5 GDPR) e dell’analisi del rischio svolta in proposito, per futura consultazione e verifica. Viene cioè qui in considerazione un obbligo di accountability.
Può portarsi come esempio concreto quello, già proposto, dell’indisponibilità temporanea di dati personali in un call center determinata da un’interruzione di elettricità.
Si può aggiungere l’esempio di un dispositivo contenente dati personali protetti da idonea chiave di cifratura e dei quali sia comunque disponibile copia di backup: qui non si ravvisa availabily o integrity breach (c’è la copia di backup) e neppure un confidentiality breach (finché la chiave di cifratura mantiene la sua robustezza). Ovviamente, non può escludersi una vulnerabilità futura della chiave utilizzata, dunque possiamo considerare questo data breach come “sospeso”. Sarà necessario tenere conto del relativo rischio e integrarne la verifica periodica nel DPIA, ossia nella valutazione d’impatto.
Ove il rischio sia invece probabile ma non elevato, il titolare procederà alla notificazione al Garante ma non alla comunicazione agli interessati.
Ove il rischio sia probabile ed elevato, il titolare procederà tanto alla notificazione al Garante quanto alla comunicazione agli interessati.
Casi reali di pronta consultazione
Dall’esperienza recente del Garante italiano per la protezione dei dati personali il giurista può trarre casi di studio assai interessanti per comprendere possibili dinamiche del data breach e per orientare l’analisi del rischio. Si veda per esempio la clamorosa e pluriennale vicenda che ha riguardato Telecom Italia – TIM, affrontata minutamente dal Garante con il provvedimento 6.4.2017 [6376175] n. 176/17 o il più conciso provvedimento nei confronti di Wind Tre, cfr. GPDP, 11.5.2017 [6431926].
Va solo precisato che i requisiti previsti dalla base giuridica richiamata in questi interventi del Garante è ovviamente quella dell’art. 32-bis d.lgs. 196/03 e del provv. GPDP 4.7.2013 [2388260], che è informata a presupposti leggermente diversi da quelli del Regolamento.
Da ultimo, non si può non segnalare il recente provvedimento GPDP, 21.12.2017 [7400401]. In esso si fa riferimento ai principi del trattamento e alle disposizioni in materia di misure di sicurezza tecniche e organizzative, ma non ancora ovviamente agli artt. 33 e 34 GDPR (il Regolamento non era ancora applicativo), tuttavia sono tratteggiate con grande chiarezza e in anticipo le direttrici lungo le quali si muoverà, e in parte già si muove, l’accertamento del Garante. Due fra tutte: verifica del rispetto del requisito della privacy by design e by default e dell’utilizzo opportuno della pseudonimizzazione.
Il concetto di rischio
Le linee guida forniscono qualche indicazione a proposito della valutazione del rischio, che non si distacca tuttavia molto da quanto già direttamente desumibile dal Regolamento (cfr. anche art. 35). Sotto questo profilo l’interprete rimarrà forse deluso, benché siano forniti comunque criteri ulteriormente elaborabili e sia del resto ben possibile integrare queste considerazioni con quelle contenute, sotto questo specifico profilo, nelle linee guida sul DPIA. In ogni caso, le linee guida oggi in commento forniscono preziosi esempi pratici sull’applicazione dell’analisi del rischio che facilitano certamente nell’affrontare casi concreti.
Per un approfondimento della nozione di rischio, il riferimento chiave è ovviamente al considerando 85 (e cons. 75) GDPR. Qui tra i danni-conseguenza in cui può sostanziarsi il «rischio per i diritti e le libertà» degli interessati sono espressamente indicati i seguenti: «perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica».
Preme a chi scrive evidenziare che l’espressa indicazione del diritto al controllo dei propri dati personali, significativamente ribadito anche al considerando 7 GDPR, autorizza certamente il giurista a richiamarsi a quella luminosa tradizione di pensiero che ha approfondito il concetto di habeas data e di autodeterminazione informativa, e della quale in Italia si è fatto per decenni lucidissimo interprete il compianto Prof. Stefano Rodotà.
Il diritto alla protezione dei dati personali va cioè correttamente inteso anche come tutela del fondamentale diritto di controllo e decisione riconosciuto all’interessato, diritto di cui i dati personali rappresentano unicamente l’oggetto mediato. La tutela apprestata dal legislatore riguarda dunque semmai il trattamento dei dati personali (non tanto cioè i dati personali tout court), e a monte le decisioni dell’interessato e del titolare in merito a questo trattamento. Considerata la disciplina sotto questa prospettiva, fermare invece l’attenzione ai soli dati personali e credere che il senso della normativa di settore sia tutto limitato alla loro statica protezione quali res immateriali vuol dire guardare, in modo proverbiale, al dito anziché alla luna.
E allora è confortante prendere atto che invece il Regolamento include nell’elenco dei danni tipici derivanti dalla violazione dei dati personali anche nell’incisione del diritto all’autodeterminazione informativa (diritto di controllo), ossia quel fondamentale portato concettuale che forma il nucleo stesso della tutela giuridica.
Il ruolo del DPO nella valutazione del rischio
Sulla scorta di quanto notato, la valutazione sul rischio è fondamentale e comporta evidentemente responsabilità per qualsiasi sottovalutazione. Essa deve includere non solo un esame della situazione presente e passata ma una proiezione de futuro.
Ora, è chiaro che, considerati i tempi assai stretti (ricorrendone i presupposti, 72 ore dalla conoscenza del data breach per la notificazione al Garante e comunicazione senza ingiustificato ritardo agli interessati), viene a determinarsi una concentrazione di attività critiche, che non può lasciare spazio all’improvvisazione né alla concitazione del momento. Occorre cioè essersi dotati per tempo («plan in advance», scrivono i Garanti) di una procedura chiara e lineare di reazione al data breach, alla quale affidarsi per un’ordinata gestione dell’emergenza.
Ci può chiedere quale sia il ruolo del DPO (ove designato) quando l’emergenza effettivamente si verifichi.
Nella versione riveduta delle linee guida vengono dedicati alcuni brevi passaggi a sottolineare il coinvolgimento – fondamentale – del DPO nella gestione delle conseguenze immediate dell’incidente, colmando così una lacuna presente nella prima versione del documento (sul punto occorreva fare riferimento in alternativa alle linee guida specifiche in materia di DPO). La precisazione è utile, perché il legislatore non ha disposto, almeno non attraverso una norma espressa, la consultazione di questa figura nella gestione del data breach, limitandosi a indicarne la funzione di punto di contatto per l’Autorità di controllo (art. 33.3.b)) e per gli interessati (34.2).
In proposito supplisce il ricorso a criteri sistematici, alla luce dei quali la consultazione del DPO appare di certo imprescindibile. Innanzitutto, è perfettamente coerente con la sua peculiare competenza nel sorvegliare l’osservanza del Regolamento, ai sensi dell’art. 39.1.b). Questa sorveglianza implica non solo il monitoraggio del rispetto degli artt. 33 e 34 ma anche degli artt. 5.1.f) e 32, ossia di disposizioni chiave nella prevenzione, gestione e reazione a una violazione di dati personali.
Il DPO inoltre conosce, o dovrebbe conoscere, in maniera profonda l’organizzazione in cui opera e possiede dunque anche le coordinate pratiche per individuare e suggerire efficaci strategie operative. Tali coordinate si integrano poi con la generale competenza di consulente giuridico ai sensi dell’art. 39.1.a), che si rende particolarmente preziosa nella delicata fase di valutazione circa la sussistenza delle condizioni, anche di diritto, per la notifica dell’evento e per la comunicazione agli interessati.
In definitiva, sarebbe impensabile, e costituirebbe una vistosa anomalia, escludere il DPO dalle operazioni di valutazione e contrasto di un data breach. Si tenga conto, del resto, che in linea generale il legislatore europeo ha espressamente previsto che questa figura debba essere coinvolta tempestivamente e adeguatamente in tutte le questioni riguardanti la protezione dei dati personali (art. 38.1) ed è chiaro che ciò vale innanzitutto in caso di eventi altamente critici come quelli in commento.
Note conclusive
Le linee guida affrontano direttamente ed evocano implicitamente una serie di altri temi di notevole interesse, che nel limitato spazio di questo articolo non possono essere affrontati. Se ne segnala brevemente qualcuno: sanzioni amministrative connesse con il verificarsi del data breach, competenza dell’Autorità di controllo nel caso di trattamenti transfrontalieri, responsabilità civile del titolare nei confronti degli interessati e del responsabile del trattamento nei confronti del titolare per segnalazioni tardive od omissive, gestione del data breach tra contitolari del trattamento. Su quest’ultimo profilo, deve osservarsi che la versione riveduta delle linee guida si limita a richiamare la necessità che nel contesto dell’accordo tra contitolari sia anche allocata la competenza a procedere da capofila alla notificazione e alla comunicazione del data breach. Ciò implica una serie di delicate questioni organizzative a monte di rilevante complessità, che vanno definite tra i contitolari del trattamento.
A cura di: Enrico Pelino
Enrico Pelino è avvocato del foro di Bologna, DPO e co-fondatore dello studio legale Grieco Pelino Avvocati. Da sempre cultore dell’intersezione tra diritto e tecnologia, ha conseguito un dottorato di ricerca in diritto dell’informatica presso l’Università di Bologna, e quindi collaborato con associazioni del settore. Attualmente è fellow dell’Istituto Italiano per la Privacy e la valorizzazione dei dati (IIP) e componente del comitato tecnico-scientifico di Anorc Professioni. È altresì nella lista degli Esperti costituenti il “Support Pool” dell’EDPB (European Data Protection Board). Autore di numerosi articoli in riviste specializzate in materia di diritto digitale, invited speaker in primarie conferenze, ha svolto docenze in master per università ed enti di alta formazione. Per l’editore Giuffrè ha curato e scritto, assieme a colleghi di primo livello nazionale, volumi monografici e commentari in materia di protezione dei dati personali e disciplina della società dell’informazione: Il Regolamento Privacy Europeo (2016), Codice della Disciplina Privacy (2019); Privacy e libero mercato digitale (co-autore, 2021); Digital Services Act e Digital Markets Act (2023); Codice commentato della privacy (2024).
