1. Quando il data breach va comunicato agli interessati
In caso di violazione dei dati personali, il titolare del trattamento non deve solo valutare l’obbligo di notifica al Garante privacy, ma anche verificare se sussiste l’obbligo di comunicare l’incidente alle persone fisiche i cui dati sono stati compromessi. Questa comunicazione diretta agli interessati rappresenta una misura di trasparenza prevista in specifici casi dal Regolamento (UE) 2016/679.
In questo articolo analizziamo quando e come va effettuata la comunicazione agli interessati, sulla base dell’art. 34 del GDPR. In particolare, vedremo quali sono i presupposti per cui la comunicazione è obbligatoria, che cosa deve contenere, e in quali casi invece può essere omessa. L’obiettivo è aiutare imprese e pubbliche amministrazioni a muoversi con consapevolezza in caso di data breach.
Art. 34 (Comunicazione di una violazione dei dati personali all’interessato), Regolamento (UE) 2016/679 (GDPR)
“1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. 2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d). 3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.”
2. Che cos’è la comunicazione di una violazione dei dati personali
La comunicazione di una violazione dei dati personali è l’atto con cui il titolare del trattamento informa, in modo diretto, le persone fisiche i cui dati sono stati coinvolti in un incidente di sicurezza. L’obbligo è previsto dall’art. 34 del Regolamento (UE) 2016/679 (GDPR) e si attiva solo al verificarsi di determinate condizioni che verranno analizzate nei prossimi paragrafi.
L’obiettivo della comunicazione è rendere l’interessato consapevole del rischio e metterlo nelle condizioni di tutelarsi, ad esempio cambiando le proprie credenziali, attivando strumenti di protezione dell’identità o adottando altre precauzioni. Per questa ragione, il contenuto della comunicazione deve essere chiaro, tempestivo e facilmente comprensibile.
3. Chi è responsabile della comunicazione agli interessati
La comunicazione agli interessati in caso di violazione dei dati personali è un obbligo che ricade sul titolare del trattamento. È il titolare, infatti, a dover valutare se la violazione comporti un rischio elevato per i diritti e le libertà delle persone fisiche, e, se necessario, adottare tutte le misure per informarle in modo chiaro e tempestivo.
Il titolare del trattamento è il soggetto che decide finalità e modalità del trattamento dei dati personali. Può essere una persona fisica, un ente pubblico o un’impresa privata. Anche se l’incidente è stato causato da un responsabile esterno o da un fornitore, resta il titolare a dover gestire la comunicazione e rispondere del rispetto degli obblighi previsti dal GDPR.
4. La comunicazione di data breach è sempre obbligatoria?
La comunicazione agli interessati non è sempre obbligatoria. L’art. 34 del GDPR stabilisce che essa va effettuata solo se la violazione comporta un rischio elevato per i diritti e le libertà delle persone fisiche. Spetta quindi al titolare del trattamento valutare caso per caso se l’incidente richiede un’informativa diretta agli interessati.
Questa valutazione tiene conto di diversi fattori:
- la natura della violazione, il tipo di dati personali compromessi (ad esempio, dati sanitari o identificativi),
- l’estensione della violazione in termini di numero di persone coinvolte,
- le possibili conseguenze negative come furti d’identità, danni economici o lesioni alla reputazione.
Solo quando si verifica un rischio concreto e rilevante, la comunicazione diventa un obbligo.
Registro data breach GDPR: cos’è, quando e come compilarlo
Scopri quando compilare il registro delle violazioni privacy e cosa prevede il GDPR
5. Entro quando deve essere inviata la comunicazione agli interessati?
La comunicazione di una violazione dei dati personali agli interessati deve essere effettuata senza ingiustificato ritardo, non appena il titolare del trattamento accerti che il data breach comporta un rischio elevato per i diritti e le libertà delle persone fisiche. L’urgenza è motivata dal fatto che la comunicazione serve a consentire agli interessati di adottare tempestivamente misure di protezione.
Se al momento dell’incidente non sono ancora disponibili tutte le informazioni necessarie, il titolare deve comunque attivarsi e completare la comunicazione non appena acquisiti gli elementi utili. Il GDPR non prevede un termine rigido (come nel caso della notifica al Garante), ma l’espressione “senza ritardo” implica un obbligo immediato, compatibile con le circostanze e le dimensioni dell’evento.
6. A chi deve essere inviata la comunicazione di una violazione dei dati personali?
Quando la violazione dei dati personali comporta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a informare direttamente ciascun interessato coinvolto. L’obbligo, previsto dall’art. 34 del GDPR, impone una comunicazione mirata, chiara e tempestiva, indirizzata a chi ha subito la compromissione dei propri dati.
Rientrano tra le violazioni rilevanti non solo gli accessi non autorizzati, ma anche la perdita, la distruzione o la modifica illecita dei dati. Un esempio tipico è il furto di informazioni tramite attacco informatico, come accade quando un hacker accede ai dati delle carte di credito dei clienti di una società. In questi casi, la comunicazione è fondamentale per consentire agli interessati di proteggersi e reagire prontamente.
Esempio
Se un incidente di sicurezza ha permesso a soggetti non autorizzati di prendere visione o di estrarre copia di dati relativi alle carte di credito utilizzate per acquisti online, la società che conservava detti dati e che ha subito un attacco hacker con malware, ransomware e cryptolocker, sarà tenuta ad inviare una comunicazione ai titolari delle carte di credito affinché questi ultimi possano adoperarsi per mitigare il rischio di furti a suo danno.
7. Come deve essere inviata una comunicazione di violazione dei dati personali?
La comunicazione agli interessati deve avvenire in forma diretta, utilizzando canali idonei come posta elettronica, SMS o comunicazione postale. L’obiettivo è raggiungere efficacemente ogni persona coinvolta nella violazione. Solo quando questo richiederebbe uno sforzo sproporzionato, è ammesso il ricorso a una comunicazione pubblica, ad esempio attraverso banner sul sito istituzionale o annunci visibili sulla stampa.
È essenziale che la comunicazione sia distinta da qualsiasi altra informazione commerciale, come newsletter o avvisi generici. Il messaggio deve essere dedicato, chiaro e riconoscibile, così da garantire trasparenza e permettere agli interessati di adottare misure tempestive per tutelarsi. Ogni ambiguità o confusione nella comunicazione può vanificare la finalità di protezione prevista dal GDPR.
8. Cosa deve contenere una comunicazione di una violazione dei dati personali?
Il titolare del trattamento deve fornire almeno le seguenti informazioni:
- una descrizione della natura della violazione;
- il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto;
- una descrizione delle probabili conseguenze della violazione;
- una descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi.
Il titolare del trattamento può scegliere di fornire informazioni supplementari rispetto a quanto richiesto qui e dovrebbe fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibile conseguenze negative (ad esempio reimpostando le password in caso di compromissione delle credenziali di accesso).
La notifica al Garante privacy di un data breach
Quando e come notificare un data breach al Garante privacy? Guida pratica agli obblighi previsti dal GDPR in caso di violazione dei dati personali.
9. Quando non è obbligatoria la comunicazione della violazione agli interessati
Anche quando una violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone, il titolare del trattamento può essere esonerato dall’obbligo di comunicazione individuale, purché ricorrano determinate condizioni tassativamente previste dall’art. 34 del GDPR. La normativa riconosce che, in casi particolari, il rischio per gli interessati può essere neutralizzato o la comunicazione resa oggettivamente impossibile.
In particolare, l’obbligo non sussiste se i dati erano protetti da misure di sicurezza efficaci, come la crittografia, che li rendono inutilizzabili da soggetti non autorizzati, oppure se il titolare è intervenuto tempestivamente adottando misure che eliminano il rischio residuo. Infine, quando l’identificazione o il contatto diretto con gli interessati richiede uno sforzo sproporzionato, la legge consente di ricorrere a una comunicazione pubblica o equivalente, purché garantisca un’efficace informazione.
10. Suggerimenti operativi per la gestione della comunicazione agli interessati
Una volta notificata la violazione al Garante per la protezione dei dati personali, il titolare del trattamento deve effettuare un’attenta valutazione circa l’opportunità di procedere con la comunicazione agli interessati, ai sensi dell’art. 34 del GDPR. La decisione non può basarsi su valutazioni generiche, ma richiede un’analisi puntuale del rischio e delle misure di mitigazione già adottate.
È essenziale che l’impresa sia in grado di documentare in modo trasparente le motivazioni alla base della scelta di comunicare — o meno — la violazione. Anche in presenza di un’analisi ben condotta, il Garante potrebbe ritenere la comunicazione necessaria e, in tal caso, invitare il titolare a conformarsi all’obbligo, riservandosi in caso contrario di esercitare i propri poteri ispettivi e sanzionatori. Un approccio prudente e ben argomentato è sempre preferibile.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.