Data breach: quando notificare agli interessati

L’AEPD, l’Autorità Garante Spagnola, ha da poco pubblicato sul proprio sito web istituzionale un tool per aiutare i Titolari del trattamento a decidere se devono comunicare un data breach agli interessati: trovate il tool qui .

Lo strumento appena messo a punto dall’Autority Spagnola integra la “Guida per la gestione e notificazione di un data breach“, già in precedenza pubblicata dall’AEPD (trovate il testo completo nella sezione “Documenti utili” del Blog, qui), nella quale sono state raccolte le esperienze di molteplici aziende nello sviluppo di piani di gestione degli incidenti di sicurezza.

Nella Guida, l’AEPD si occupa, in particolare, di:
– definire il concetto di data breach;
– illustrare le modalità per la ricerca ed individuazione di un data breach;
– fornire una valida classificazione degli incidenti di sicurezza;
– descrivere come impostare un corretto piano di gestione degli incidenti;
– dare indicazioni sulle modalità di risposta ad un data breach;
– come notificare correttamente la violazione all’Autority e agli interessati.

Ricordo che anche il nostro Garante per la Protezione dei Dati Personali si è occupato del tema in occasione di un provvedimento, pronunciato nell’aprile 2019, in relazione ad un evento di data breach, notificato ai sensi dell’art. 33 GDPR, da un importante fornitore nazionale di servizi di posta elettronica.

Nell’occasione, il nostro Garante ha ribadito che le comunicazioni agli interessati dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.

Il Garante ha specificato che, nella comunicazione agli interessati, la società colpita dal data breach, deve:

  1. consentire all’interessato di avere una chiara descrizione della natura della violazione e delle sue possibili conseguenze, come previsto dall’art. 34, comma 2 del GDPR, che stabilisce che “la comunicazione all’interessato (…) descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni di cui all’articolo 33, paragrafo 3, lettere b), c) e d)” , evitando di minimizzare l’accaduto;
  2. indicare all’interessato precisi accorgimenti da adottare per evitare ulteriori rischi, spiegando, ad esempio, che non devono essere più utilizzate le credenziali compromesse o che è necessario modificare la password violata anche per gli altri servizi on-line in cui l’utente utilizza password uguali o simili, etc.

In questo senso si pongono anche le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679″ del WP29 per la Protezione dei Dati del 3 ottobre 2017 (modificate e adottate il 6 febbraio 2018 e fatte proprie dal EDPB il 25 maggio 2018).

Queste ultime prevedono, infatti, che il Titolare del trattamento, tra le misure da adottare per far fronte alla violazione e attenuarne i possibili effetti negativi per gli interessati, “dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione”, per consentire agli utenti di attuare efficaci e concrete azioni di protezione.

Segnalo, da ultimo, la pagina specificatamente dedicata dal nostro Garante agli eventi di data breach, dove è possibile rinvenire sia una serie di consigli pratici sia alcuni documenti utili di approfondimento.

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Privacy, Strumenti per il business e contrassegnata con , , , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!