Data breach: nuovo Regolamento UE sulle modalità di notifica al Garante e agli utenti imposte a Internet provider e società telefoniche
A partire dallo scorso 25 agosto è entrato ufficialmente in vigore il nuovo Regolamento (UE) n. 611/2013 sulle misure applicabili alla comunicazione delle violazioni di dati personali imposte a Intenet provider e società telefoniche dall’articolo 4 della direttiva e-privacy 2002/58/Ce, così come modificata dalla direttiva 2009/136/Ce (rispettivamente il “Regolamento” e la “Direttiva”). In base a tale norma, in particolare, i fornitori di servizi di comunicazione elettronica accessibili al pubblico (i “Fornitori” o “Provider”) hanno l’obbligo di notificare le eventuali violazioni di dati personali alle autorità nazionali e, in alcuni casi, anche agli abbonati e agli altri interessati. Com’è noto, tuttavia, l’esistenza di requisiti di notifica diversi per ciascuno Stato Membro comportava procedure onerose, complesse e poco coerenti fra loro che il Regolamento ha provveduto ad armonizzare introducendo una procedura uniforme e tempi analoghi di notifica per tutti gli Stati Membri.
Per quanto riguarda la notifica obbligatoria all’autorità nazionale competente – per l’Italia l’Autorità Garante per la Protezione dei dati Personali (il “Garante”) – in base all’art. 2 del Regolamento il Fornitore deve sempre provvedervi entro 24 ore dal rilevamento del problema comunicando i propri dati e le informazioni relative all’incidente di cui all’Allegato 1 del Regolamento. Nel caso in cui alcune di tali informazioni non siano disponibili nell’immediato, il Provider inoltra comunque entro 24 ore una notifica iniziale contenente solo alcuni dati (le “informazioni iniziali” di cui alla Sezione 1 dell’Allegato 1). Entro tre giorni da quest’ultima, il Fornitore deve trasmettere una seconda notifica contenente le restanti informazioni. Scaduto anche tale termine senza che il Fornitore abbia comunicato tutti i dati richiesti, il medesimo dovrà comunque notificare gli elementi di cui è in possesso e presentare una giustificazione motivata per la notifica tardiva delle informazioni residue che dovrà in ogni caso fornire non appena possibile. Il semplice sospetto o la semplice individuazione di un incidente non possono essere considerati “elementi sufficienti” per constatare una violazione di dati personali e procedere a tale notifica. Di volta in volta, quindi, il Provider dovrà verificare con attenzione il possesso delle informazioni richieste dal Regolamento, come precisato dal Considerando 8.
Venendo ora alla notifica aggiuntiva all’abbonato o ad altra persona, ai sensi dell’art. 3 del Regolamento il Fornitore deve provvedervi nel caso in cui la violazione “rischi di pregiudicare i dati personali o la vita privata” degli stessi. Il Regolamento ha il merito di codificare per la prima volta in modo preciso le circostanze in base alle quali l’eventualità di un tale pregiudizio va valutata, ovvero i) la natura e il contenuto dei dati personali interessati (soprattutto dati sensibili, informazioni finanziarie, cronologie di navigazione, dati sull’ubicazione etc.), ii) le probabili conseguenze della violazione (furto d’identità, danni alla reputazione etc.) e iii) le circostanze della violazione (se i dati vengono rubati o se il Fornitore è a conoscenza del fatto che i dati sono in possesso di un terzo non autorizzato). In questi casi la notifica all’abbonato è operata “senza indebito ritardo dopo la scoperta della violazione” e ha ad oggetto un contenuto minimo di informazioni per la prima volta stabilite nell’Allegato 2 del Regolamento (natura e contenuto dei dati violati, probabili conseguenze della violazione, misure per rimediare alla violazione etc.). Nel caso in cui l’incidente leda persone diverse dagli abbonati di cui il Provider non possa conoscere subito i dati, quest’ultimo potrà provvedere a una prima notifica mediate annunci pubblicitari sui principali mezzi di comunicazione nazionali o regionali.
Quanto precede circa la notifica all’abbonato, tuttavia, non si applica nel caso in cui il Provider “dimostri in modo convincente all’autorità nazionale competente di avere utilizzato adeguate misure tecnologiche di protezione e che tali misure erano state applicate ai dati interessati dalla violazione della sicurezza” (art. 4 co. 1 Regolamento). In base a tale norma, le misure in questione (sostanzialmente tecniche di crittografia e hashing adeguate alle prassi correnti) rendono i dati incomprensibili a chiunque non sia autorizzato ad accedervi.
L’applicazione delle procedure di cui si è detto sarà oggetto di relazione fra tre anni per valutarne impatto ed efficacia sui soggetti interessati (art. 6 Regolamento). In base a tale relazione, il Regolamento sarà sottoposto a riesame, tenendo conto anche del contesto giuridico che risulterà in vigore allora, con riguardo, in particolare, alle eventuali revisioni della direttiva e-privacy nel frattempo intercorse e all’entrata in vigore del nuovo Regolamento Privacy che si prevede sostituirà la direttiva 95/46/CE sulla privacy attualmente in uso.
Quanto all’impatto sul nostro ordinamento, la procedura appena descritta, in realtà, sembra non discostarsi in maniera significativa dalle Linee Guida emanate lo scorso 12 luglio 2012 dal Garante recanti orientamenti e istruzioni per adempiere all’obbligo in questione che nel nostro ordinamento è sancito dagli articoli 32 e 32-bis del D. Lgs. 196/2003 (“Codice Privacy”), come di recente modificato dal D.lgs. n. 69/2012 di recepimento della Direttiva. Già tali indirizzi, infatti, prevedevano un termine di 24 ore per la prima sommaria comunicazione della violazione al Garante, con integrazione della stessa entro i successivi 3 giorni. Le uniche integrazioni riguardano la notifica all’abbonato o ad altra persona interessata, relativamente all’introduzione degli specifici criteri visti sopra per valutare il possibile pregiudizio all’utente (e quindi l’opportunità o meno della notifica) e alla specificazione del contenuto dell’eventuale comunicazione all’abbonato.
In aggiunta rispetto all’oggetto del Regolamento, in realtà, le Linee Guida chiarivano aspetti ulteriori relativi, tra l’altro, alla preliminare analisi dei rischi cui i dati trattati vanno incontro, al canale da utilizzare per la comunicazione agli utenti, alla tenuta di un inventario delle violazioni subite e alle sanzioni previste in caso di omessa o ritardata comunicazione da parte dei Provider. Posto che tali punti non vengono affrontati dal nuovo Regolamento, è pertanto plausibile che in relazione ad essi le Linee Guida emenate poco più di un anno fa dal Garante continueranno a costituire un valido riferimento.