Disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach)

Stefano Ricci 07/06/13
La perdita, la distruzione o la diffusione di dati personali può comportare un grave danno per gli interessati. Si pensi alle conseguenze di truffe informatiche, di furti di identità, di lesioni alla reputazione e alla riservatezza. Per questa ragione, prima il legislatore europeo e poi quello italiano hanno delineato, per ora solo nel settore delle comunicazioni elettroniche, un quadro giuridico finalizzato a prevenire e gestire il rischio di violazione dei dati (c.d. “data breach”) che fa perno su alcuni obblighi specifici che gravano su particolari titolari del trattamento di dati personali.
Infatti, l’art. 32-bis del decreto legislativo 30 giugno 2003, n. 196 (il cd. Codice Privacy), introdotto dal decreto legislativo 28 maggio 2012 n. 69, prevede determinati “adempimenti conseguenti ad una violazione di dati personali” a carico del “fornitore di servizi di comunicazione elettronica accessibili al pubblico” o, per comodità di lettura, del provider informatico o telefonico.
Ci sono due tipi di obblighi in capo al provider:
un obbligo di comunicazione al Garante (presidiato da sanzione amministrativa da venticinquemila a centocinquantamila euro) e, a date condizioni, all’interessato (in caso di violazione, la sanzione amministrativa va da centocinquanta a mille euro per ciascun interessato coinvolto);
un obbligo di conservazione di un inventario aggiornato delle violazioni (la mancata adozione di detto inventario è punita con la sanzione amministrativa da ventimila a centoventimila euro).
Il primo comma dell’art. 32-bis impone infatti al provider una comunicazione “senza indebiti ritardi” al Garante. Il secondo comma prevede, per il caso in cui la violazione rischi di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, che la stessa comunicazione sia fatta all’interessato (o al contraente, come lo qualifica il Garante). Nel caso in cui non vi abbia provveduto autonomamente, può essere il Garante stesso, in forza del quarto comma dello stesso articolo, ad imporre al provider tale comunicazione a beneficio del contraente. Il quinto comma specifica che tipo di informazioni deve essere fatta all’interessato (natura della violazione, punti di contatto per ottenere ulteriori informazioni, misure raccomandate per attenuare le conseguenze negative del caso) e al Garante (conseguenze della violazione e misure proposte o adottate per rimediarvi).
La comunicazione all’interessato non è dovuta, ai sensi del terzo comma, se il provider dimostra di avere adottato delle misure tecniche che rendono i dati non intelligibili.
Il Garante ha poi emanato il 26 luglio 2012 (in G.U. il 7 agosto 2012) le linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali, avviando una consultazione pubblica relativa:
– all’adozione delle misure di sicurezza idonee a prevenire i data breach;
– alla sopra richiamata inintelligibilità dei dati violati che esenta il provider dall’obbligo di comunicazione all’utente;
– al canale per le comunicazioni al Garante e al contraente;
– alla valutazione del rischio.
Al termine di detta consultazione, il 4 aprile 2013 (in G.U. il 4 aprile 2013), il Garante ha adottato un provvedimento generale che richiama le linee guida e fissa gli adempimenti in caso di data breach. Ci sono diversi aspetti interessanti.
I soggetti obbligati, ribadisce il provvedimento del 4 aprile 2013, sono i provider di servizi telefonici e di accesso ad Internet, ossia gli stessi soggetti tenuti a rispettare il provvedimento relativo alla “Sicurezza dei dati di traffico telefonico e telematico” (provv. 17 gennaio 2008, in G.U. il 13 agosto 2008).
Peraltro, il provvedimento del 4 aprile specifica che sono obbligati anche i gestori di servizi per il c.d. “Mobile Payment” (i riferimenti al settore sono la direttiva n. 2007/64/CE ed il decreto legislativo 27 gennaio 2010, n. 11). Come già anticipato nelle linee guida del 26 luglio 2012, restano esclusi dalla disciplina in esame:
– i content provider, ovvero tutti i soggetti che gestiscono siti che offrono contenuti;
– gli Isp (Internet Service Provider) che gestiscono motori di ricerca;
– coloro che offrono servizi di comunicazione elettronica direttamente a gruppi ristretti di persone e quindi non al pubblico (ad es. le reti aziendali);
– i titolari e i gestori di esercizi pubblici o di circoli privati che si limitino a rendere disponibili ai clienti apparecchi terminali utilizzabili per le comunicazioni ovvero altri tipi di punti di accesso a Internet, anche wireless.
Riguardo l’ambito soggettivo della disciplina, il Garante conferma che il rispetto di tutti gli adempimenti prescritti riguarda sia i provider sia i soggetti che svolgono in outsourcing attività per conto del titolare. In quest’ultimo caso, il provider-titolare del trattamento dovrà designare responsabile il soggetto esterno ed il soggetto esterno-responsabile sarà tenuto a prestare la cooperazione necessaria affinché il titolare del trattamento possa adempiere a quanto prescritto dal Codice Privacy e dal provvedimento del Garante. In tal modo si vuole impedire l’elusione della disciplina in esame attraverso meccanismi contrattuali e clausole di garanzia. Sotto il profilo sanzionatorio, infatti, la responsabilità del soggetto che svolge attività in outsourcing si aggiunge a quella del titolare.
Quanto alla comunicazione senza indebito ritardo al Garante, il termine viene fissato in ventiquattr’ore dalla scoperta dell’evento. Il Garante ha quindi precisato il contenuto dell’obbligo di comunicazione. Le informazioni da comunicare, infatti, sono la tipologia dei dati coinvolti, la descrizione dei sistemi di elaborazione e l’indicazione del luogo dove è avvenuta la violazione. A tal fine il Garante ha reso poi disponibile sul proprio sito un modello di comunicazione di episodi di violazioni di dati. Infine, all’esito delle verifiche, ed entro tre giorni, i provider dovranno comunicare le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove. Per ciò che riguarda poi la comunicazione ai contraenti, il Garante fissa i criteri per valutare la gravità del data breach, ossia i presupposti che fanno scattare l’obbligo di comunicazione direttamente all’interessato: la quantità dei dati coinvolti e la loro qualità (ad es. informazioni mediche), la loro attualità (ad es. dati raccolti di recenti sono senza dubbio più delicati), i controlli e le misure di sicurezza già in essere, il tipo di violazione (ad es. accesso abusivo ai dati piuttosto che distruzione o perdita degli stessi) e i possibili effetti del data breach (ad es. possibili frodi in danno dell’interessato, possibile diffusione indiscriminata di dati personali sensibili). Anche qui il termine previsto per la comunicazione è tre giorni.
Le linee guida elencano anche una serie di esempi di misure di sicurezza e sistemi di cifratura che, rendendo i dati incomprensibili ai terzi, esentano il provider dall’obbligo di comunicazione diretta al provider.
In generale il tema della sicurezza informatica ha un ruolo centrale.
A tal riguardo, il provider deve condurre un’analisi del rischio finalizzato ad adottare le misure previste dall’art. 32 del Codice Privacy, articolo che riguarda i particolari obblighi di sicurezza che gravano sul fornitore di servizi di comunicazione elettronica accessibile al pubblico. L’analisi del rischio, precisano le linee guida del Garante, deve condurre all’adozione di adeguate misure di sicurezza, richiamando in questo modo l’art. 15 del Codice Privacy che fissa un regime di responsabilità civile per il provider aggravato, in forza del richiamo all’art. 2050 del codice civile. Anche in questo caso, il Garante fa degli esempi concreti.
Insomma, la disciplina delineata dal provvedimento del Garante, insieme alle prescrizioni già previste in materia di “Sicurezza dei dati del traffico telefonico e telematico” (17 gennaio 2008) e alle “Misure e accorgimenti prescritti ai titolari di trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” (27 novembre 2008, in G.U. 24 dicembre 2008 – poi modificato il 25 giugno 2009) formano un quadro di norme piuttosto articolato che costituisce l’architrave della data protection in materia di servizi telefonici ed Internet.
Data protection sempre più contrassegnata dalla centralità degli obblighi di sicurezza informatica e quindi della prevenzione di danni che, in questa materia, rischiano di essere irreparabili per l’interessato.

Stefano Ricci

Scrivi un commento

Accedi per poter inserire un commento