Data breach: quando notificare agli interessati

L’AEPD, l’Autorità Garante Spagnola, ha da poco pubblicato sul proprio sito web istituzionale un tool per aiutare i Titolari del trattamento a decidere se devono comunicare un data breach agli interessati: trovate il tool qui .

Lo strumento appena messo a punto dall’Autority Spagnola integra la “Guida per la gestione e notificazione di un data breach“, già in precedenza pubblicata dall’AEPD (trovate il testo completo nella sezione “Documenti utili” del Blog, qui), nella quale sono state raccolte le esperienze di molteplici aziende nello sviluppo di piani di gestione degli incidenti di sicurezza.

Nella Guida, l’AEPD si occupa, in particolare, di:
– definire il concetto di data breach;
– illustrare le modalità per la ricerca ed individuazione di un data breach;
– fornire una valida classificazione degli incidenti di sicurezza;
– descrivere come impostare un corretto piano di gestione degli incidenti;
– dare indicazioni sulle modalità di risposta ad un data breach;
– come notificare correttamente la violazione all’Autority e agli interessati.

Ricordo che anche il nostro Garante per la Protezione dei Dati Personali si è occupato del tema in occasione di un provvedimento, pronunciato nell’aprile 2019, in relazione ad un evento di data breach, notificato ai sensi dell’art. 33 GDPR, da un importante fornitore nazionale di servizi di posta elettronica.

Nell’occasione, il nostro Garante ha ribadito che le comunicazioni agli interessati dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.

Il Garante ha specificato che, nella comunicazione agli interessati, la società colpita dal data breach, deve:

  1. consentire all’interessato di avere una chiara descrizione della natura della violazione e delle sue possibili conseguenze, come previsto dall’art. 34, comma 2 del GDPR, che stabilisce che “la comunicazione all’interessato (…) descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni di cui all’articolo 33, paragrafo 3, lettere b), c) e d)” , evitando di minimizzare l’accaduto;
  2. indicare all’interessato precisi accorgimenti da adottare per evitare ulteriori rischi, spiegando, ad esempio, che non devono essere più utilizzate le credenziali compromesse o che è necessario modificare la password violata anche per gli altri servizi on-line in cui l’utente utilizza password uguali o simili, etc.

In questo senso si pongono anche le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679″ del WP29 per la Protezione dei Dati del 3 ottobre 2017 (modificate e adottate il 6 febbraio 2018 e fatte proprie dal EDPB il 25 maggio 2018).

Queste ultime prevedono, infatti, che il Titolare del trattamento, tra le misure da adottare per far fronte alla violazione e attenuarne i possibili effetti negativi per gli interessati, “dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione”, per consentire agli utenti di attuare efficaci e concrete azioni di protezione.

Segnalo, da ultimo, la pagina specificatamente dedicata dal nostro Garante agli eventi di data breach, dove è possibile rinvenire sia una serie di consigli pratici sia alcuni documenti utili di approfondimento.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , , | Lascia un commento

Novità per il crowdfunding

Questa settimana non voglio parlarvi di privacy ma del Regolamento UE 2020/1503 relativo ai fornitori europei di servizi di crowdfunding per le imprese, che è stato da poco pubblicato e che, nelle intenzioni, dovrebbe creare un sistema di regole minime comuni all’interno della UE in materia.

Come noto, il crowdfunding è una forma di finanza alternativa che, tramite piattaforme digitali aperte al pubblico, mette in collegamento i potenziali investitori con soggetti che hanno bisogno di fondi per un progetto specifico; si tratta, cioè, di una alternativa ai prestiti bancari, che ha trovato un mercato molto promettente soprattutto nel Regno Unito, ma che anche da noi sta riscuotendo i suoi piccoli successi.

Nell’Unione Europea, solo alcuni Paesi si sono dotati di una specifica disciplina del crowdfunding e, spesso, si tratta, comunque, di discipline frammentarie che interessano solo alcuni aspetti di questo fenomeno.

Il Regolamento UE 2020/1503 cerca, per la prima volta, di offrire alle piattaforme di crowdfunding dedicate alle imprese di avere un respiro europeo, consentendo loro di poter (potenzialmente) operare in tutti i Paesi UE, con il duplice obiettivo di:
a) ampliare il mercato accessibile alle piattaforme di crowdfunding;
b) garantire un minimo livello di tutela per gli investitori.

Occorre, comunque, ricordare che l‘oggetto del Regolamento UE sono i servizi di crowdfunding per la raccolta di fondi da parte di imprese; esulano, pertanto, da questa disciplina le raccolte di fondi tramite crowdfunding da parte di consumatori o aventi ad oggetto ricompense e/o donazioni.

Nel dettaglio, le principali caratteristiche del Regolamento UE 2020/1503 sono le seguenti:

  1. un tetto massimo di raccolta per campagna pari a 5 milioni di euro, calcolati su un periodo di  12 mesi;
  2. agli investitori dovrà essere fornito un cosiddetto key investment information sheet” (KIIS), preparato dall’emittente per ciascuna campagna di raccolta oppure dalla piattaforma, con una chiara informativa circa i rischi finanziari e i costi che potranno sopportare, inclusi i rischi di insolvenza e i criteri di selezione dei progetti;
  3. le piattaforme dovranno pubblicare annualmente il tasso di default riscontrato nel triennio precedente, suddividendolo per categoria di rischio;
  4. la piattaforma dovrà predisporre un meccanismo di simulazione che consenta di verificare la capacità dell’investitore “non sofisticato” (secondo la definizione contenuta nell’Allegato II) di sostenere perdite;
  5. è previsto che il consumatore/investitore abbia diritto di recesso entro 4 giorni dall’acquisto;
  6. è previsto un Registro pubblico di tutte le piattaforme abilitate, con indicazione dei Paesi in cui possono operare;
  7. la piattaforma è ritenuta responsabile quando emergano eventuali carenze, sotto il profilo della completezza, correttezza e chiarezza delle informazioni fornite dall’emittente. Sono previste sanzioni piuttosto significative;
  8. deve essere previsto un meccanismo di reclamo per gli investitori, da presentare tramite le piattaforme e/o all’autorità competente.

In ogni caso, le nuove piattaforme di crowdfunding dovranno essere autorizzate dalle autorità nazionali competenti dello Stato Membro in cui la piattaforma ha la propria sede e, attraverso un processo di notifica, la stessa piattaforma potrà essere autorizzata a erogare i suoi servizi anche in altri Paesi Membri.

La vigilanza del sistema creato dal Regolamento UE è affidata alle autorità antitrust nazionali, unitamente alla European Securities and Markets Authority (ESMA) che svolgerà il compito di “facilitatore e coordinatore” per la collaborazione tra Stati Membri.

Il Regolamento sarà effettivamente applicabile all’interno della UE dal 10 novembre 2021 e spero che costituisca uno strumento efficace per incrementare i tassi di crescita di questa tipologia di investimento, che è davvero molto interessante.

Pubblicato in Digital life, Strumenti per il business, Tecnologia per il business | Contrassegnato , | Lascia un commento

Privacy by default…in pratica

Da qualche giorno l’AEPD, l’Autorità Garante per la protezione dei dati spagnola, ha pubblicato sul proprio sito una Guida alla protezione dei dati by default (“Guìa de Protecciòn de Datos por Defecto” – di seguito la “Guida”), che potete trovare nella sezione “documenti utili” del Blog , cliccando qui ,

La Guida si pone l’obiettivo di fornire consigli pratici per l’implementazione di sistemi conformi al principio di privacy by default sancito dall’art. 25 del GDPR, il cui secondo comma, lo ricordo per comodità, recita: “il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità di trattamento. Tale obbligo vale per la quantità di dati raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita (N.d.r.: by default), non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.

Ma quali sono le modalità attraverso le quali è possibile, concretamente, rispettare il principio di privacy by default ?

Secondo l’AEPD, occorre, innanzitutto, analizzare i trattamenti sulla base di tre criteri generali, costituiti da:

  1. ottimizzazione (intesa come efficienza ed efficacia in correlazione con la protezione dei dati), attraverso l’analisi del trattamento, l’applicabilità pratica del medesimo nei diversi contesti in cui si realizza, l’interrelazione con altri trattamenti e, infine, la sua adattabilità ai principi di minimizzazione e di conservazione, nonché ai criteri di accesso; il tutto valutando quale capacità di controllo il trattamento conferisce all’utilizzatore;
  2. configurabilità del trattamento, inteso come la capacità di un trattamento di offrire più opzioni di configurazione all’utilizzatore in dipendenza del suo specifico utilizzo. Questa caratteristica si suddivide, secondo l’AEPD, in quattro elementi: a) individuazione dei requisiti di configurazione; b) identificazione dei parametri di configurazione; c) intervalli di valori tecnicamente possibili; d) valore by default assegnato a ciascun parametro. Il tutto, tenendo conto che l’utilizzazione di componenti di terze parti potrebbe limitare la capacità di configurazione del trattamento previsto dal Titolare;
  3. limitazione by default. La caratteristica che deve sempre avere un sistema al suo primo utilizzo è quella di consentire all’utilizzatore di accedere alle sole funzionalità di base. Le “impostazioni di fabbrica” devono, pertanto, garantire il principio di minimizzazione allo scopo di mettere l’utilizzatore in condizione di fare una scelta consapevole e volontaria, ampliando, se così desidera, la capacità del sistema di svolgere trattamenti ulteriori dei propri dati, più ampi di quelli originariamente impostati, in funzione delle proprie necessità specifiche.

Nella seconda parte del documento (da pagina 21), l’AEPD si sofferma, invece, sulle concrete e specifiche misure da tenere in considerazione per il rispetto del principio di protezione dei dati by default, che sono (in estrema sintesi) individuate nelle seguenti:

  1. quantità di dati raccolti, sia in senso quantitativo che qualitativo (livello di dettaglio, categorie di dati, tipologia, etc.);
  2. estensione del trattamento (con limitazione alle sole azioni realmente necessarie per la finalità perseguita);
  3. periodo di conservazione, che deve sempre essere motivato;
  4. accessibilità dei dati ai soli soggetti che ne hanno effettiva necessità;
  5. definizione degli specifici parametri di configurazione, stabilendo il rango di ciascuno ed i valori che potranno essere modificati dall’utilizzatore. Per quest’ultima attività, l’AEPD fornisce una dettagliata check-list (di ben 8 pagine) che potete trovare in fondo al documento (pag. 30 e seguenti) come “Anexo II”.

Si tratta sicuramente di un documento molto utile, da tenere presente e consultare per lo sviluppo di prodotti e servizi che asprino ad essere concretamente rispettosi del principio di privacy by default sancito dal GDPR.

Pubblicato in Digital life, Privacy, Strumenti per il business | Contrassegnato , , , | Lascia un commento