venerdì, Marzo 29, 2024
Uncategorized

Data breach e GDPR (parte II): gli obblighi di notifica agli interessati

Nel precedente articolo[1] si è analizzata la prima parte della disciplina prevista, in materia di violazione dei dati, dal nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali[2] (d’ora in poi GDPR), che troverà applicazione a partire dal 25 maggio 2018.

In particolare, si è parlato degli obblighi di notifica previsti dall’art. 33, pertanto, in questa sede, si procederà all’analisi degli obblighi di notifica agli interessati previsti dall’art. 34.

Quando notificare?

In alcuni casi, contestualmente all’autorità, il titolare del trattamento è obbligato a notificare la violazione anche ai soggetti interessati. L’art. 34, comma 1, statuisce infatti che “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Il GDPR prevede che la comunicazione, sia all’autorità che agli interessati, venga effettuata “senza ingiustificato ritardo”. In particolare, la ratio[3] della notifica agli interessati va individuata nell’esigenza che questi vengano a conoscenza, in primo luogo, del fatto che una violazione sia avvenuta e, in secondo luogo, degli step necessari affinché possano salvaguardare i propri diritti e interessi.

Paragonando il grado di rischio che innesca la notifica all’autorità e ai soggetti interessati, è possibile notare una sostanziale differenza: la prima dovrà essere effettuata qualora vi sia un rischio per i soggetti interessati, la seconda quando il rischio per questi ultimi sia elevato. Pertanto, non tutte le violazioni dei dati dovranno essere notificate anche ai soggetti interessati.

A tal fine risulta fondamentale determinare il grado di rischio e, nel caso di specie, quando questo sia elevato. I soggetti interessati avranno il diritto di essere informati quando la violazione dei dati possa provocare loro danni fisici, materiali o immateriali. Il WP29 ha individuato diversi esempi per i quali è richiesta la comunicazione solo all’autorità o anche ai soggetti interessati[4]. Inoltre, suggerisce di tenere in considerazione diversi fattori nella valutazione del rischio:

  • il tipo di violazione;
  • la natura;
  • la gravità;
  • il volume di dati personali;
  • la facilità di identificazione degli interessati;
  • le caratteristiche particolari degli interessati o del titolare;
  • il numero di persone interessati coinvolti.

Che cosa notificare?

Al fine di permettere agli interessati di tutelarsi, appaiono rilevanti le informazioni che il titolare deve comunicare. L’art. 34, comma 2, prevede che “La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d)”.

Sulla base di tale disposizione e delle indicazioni del WP29[5], il titolare deve fornire almeno:

  • una descrizione della natura della violazione;
  • il nome e i dettagli di contatto del responsabile della protezione dei dati (DPO)[6];
  • una descrizione delle probabili conseguenze della violazione;
  • una descrizione delle misure attuate o prese in considerazione dal titolare per affrontare la violazione e, ove necessario, delle misure atte a mitigarne le conseguenze negative.

Tali informazioni devono essere redatte con un linguaggio semplice e chiaro, tale che anche i non addetti ai lavori capiscano la situazione. Inoltre, il titolare dovrebbe fornire anche consigli e linee di comportamento per far si che gli interessati possano tutelarsi nel migliore dei modi.

Quando è possibile non notificare?

L’ipotesi è disciplinata dall’art. 34, comma 3, secondo cui vi sarebbero tre casi in cui la notifica agli interessati non è dovuta, ossia quando:

  • il titolare del trattamento, prima della violazione, abbia provveduto ad implementare ed applicare misure tecniche ed organizzative ai trattamenti svolti e ai dati oggetto della violazione. Misure come la cifratura dei dati che renderebbe i dati inaccessibili;
  • il titolare del trattamento ha, subito dopo la violazione, predisposto contromisure atte a scongiurare l’elevato rischio per i diritti e le libertà delle persone fisiche;
  • detta comunicazione, che deve in principio essere effettuata direttamente agli interessati, richiederebbe sforzi sproporzionati.

In quest’ultimo caso, qualora una comunicazione ad personamrisulti eccessivamente gravosa, la violazione verrà notificata attraverso una comunicazione pubblica o a una misura simile, tramite la quale gli interessati verranno informati con la stessa efficacia.

Ai fini dell’obbligo di notifica, appare rilevante non solo il contenuto della comunicazione, ma anche il modo con cui questa viene fornita.

Il WP29 sottolinea che messaggi diretti sarebbero da preferire. Questi dovrebbero poi risultare ben distinti da tutte le altre comunicazioni effettuate solitamente dal titolare, dal momento che l’unicità della comunicazione favorisce la trasparenza e la chiarezza della notifica. SMS, email, vistosi banner posti nella homepage del sito, lettere a mezzo posta e comunicazioni sui quotidiani sono fra gli esempi citati nelle linee guida.

Dopo aver analizzato anche l’obbligo di notifica agli interessati, si può concludere che il GDPR in materia di violazione dei dati opera un perfetto bilanciamento di interessi: da una parte, la tutela degli interessati e, dall’altra, gli interessi economici e reputazionali del titolare del trattamento. La normativa infatti non grava in maniera eccessiva su questi ultimi dal momento che, in certi casi e a patto che alcune condizioni vengano rispettate, sono esentati dalla notifica o quantomeno possono avere delle finestre di tempo più estese per comunicare l’avvenuta violazione.

 

[1] Simone Cedrola, “Data breach e GDPR (parte I): gli obblighi di notifica all’autorità”, aprile 2018, disponibile qui: https://www.iusinitinere.it/data-breach-e-gdpr-parte-i-gli-obblighi-di-notifica-allautorita-9485

[2] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, disponibile qui: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679

[3] Considerando n. 86, Regolamento 2016/679.

[4] Guidelines on Personal data breach notification under Regulation 2016/679, adottate il 3 ottobre 2017, disponibili qui:

[5] V. supra

[6] Simone Cedrola, “Il Data Protection Officer: ruolo e funzioni”, dicembre 2017, disponibile qui: http://aitra.it/il-data-protection-officer-ruolo-e-funzioni/

Print Friendly and PDF

Simone Cedrola

Laureto in Giurisprudenza presso l'Università Federico II di Napoli nel luglio 2017 con una tesi in Procedura Civile. Collaboro con Ius in itinere fin dall'inizio (giugno 2016). Dapprima nell'area di Diritto Penale scrivendo principalmente di cybercrime e diritto penale dell'informatica. Poi, nel settembre 2017, sono diventato responsabile dell'area IP & IT e parte attiva del direttivo. Sono Vice direttore della Rivista, mantenendo sempre il mio ruolo di responsabile dell'area IP & IT. Gestisco inoltre i social media e tutta la parte tecnica del sito. Nel settembre 2018 ho ottenuto a pieni voti e con lode il titolo di LL.M. in Law of Internet Technology presso l'Università Bocconi. Da giugno 2018 a giugno 2019 ho lavorato da Google come Legal Trainee. Attualmente lavoro come Associate Lawyer nello studio legale Hogan Lovells e come Legal Secondee da Google (dal 2019). Per info o per collaborare: simone.cedrola@iusinitinere.it

Lascia un commento