Il 18 gennaio 2021, l’European Data Protection Board (“EDPB”) ha annunciato l’avvio della consultazione pubblica sulle nuove Linee Guida 01/2021 relative agli esempi di notifica delle violazioni dei dati personali (“Linee Guida”), destinata a concludersi il 2 marzo 2021.

Come dichiarato dall’EDPB, le Linee Guida hanno lo scopo di integrare le precedenti linee guida in materia di notifica di data breach, pubblicate nell’ottobre 2017 dal Working Party 29 (“WP29”), offrendo un’analisi dei casi più significativi di violazione dei dati subiti da banche, ospedali, medie imprese e società che offrono servizi online di vario genere.

Le Linee Guida nascono infatti dall’esigenza dei titolari e dei responsabili del trattamento di avere una guida pratica per decidere come gestire le violazioni dei dati e quali fattori considerare durante la valutazione del rischio, quest’ultima necessaria ai sensi della normativa applicabile (i.e. il Regolamento UE 2016/679, “GDPR”). A tal fine, le Linee Guida forniscono una serie di esempi ipotetici di violazioni di dati personali, basati sull’esperienza maturata dalle Autorità di controllo nazionali dal 2018 (anno della piena applicabilità del GDPR) fino ad oggi.

Prima di analizzare tali esempi, occorre sottolineare che, nell’incipit delle Linee Guida, l’EDPB rammenta i tre noti principi fondamentali per la categorizzazione delle violazioni dei dati personali, ossia:

  • il confidentiality breach, che si realizza quando vi è una divulgazione non autorizzata o accidentale o un accesso ai dati personali;
  • l’integrity breach, che si realizza quando si verifica una modifica non autorizzata o accidentale dei dati personali;
  • l’availability breach, che si realizza quando vi è una perdita accidentale o non autorizzata di accesso o distruzione di dati personali.

Le Linee Guida precisano altresì che, ai sensi del GDPR, il titolare del trattamento che subisce una violazione di dati personali deve, a seconda dei casi:

  • documentare ogni violazione di dati personali di cui viene a conoscenza, ricomprendendo le informazioni connesse ai dati coinvolti, gli effetti e le eventuali misure correttive adottate (art. 33, comma 5 del GDPR);
  • notificare la violazione all’Autorità di controllo nazionale, nel caso in cui la violazione dei dati possa comportare un rischio per i diritti e le libertà degli interessati coinvolti (art. 33, comma 1 del GDPR); nonché
  • comunicare il data breach agli interessati, qualora vi sia la probabilità che la violazione comporti un rischio particolarmente elevato per i diritti e le libertà degli stessi (art. 34 del GDPR).

Le Linee Guida precisano, inoltre, che non è necessaria la notifica di qualsiasi violazione di dati personali subìta, ma solo di quelle che possano avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, a titolo esemplificativo, (i) la perdita del controllo sui propri dati personali, (ii) la limitazione di alcuni diritti, (iii) la discriminazione, (iv) il furto d’identità o il rischio di frode, (v) la perdita di riservatezza dei dati personali protetti dal segreto professionale, (vi) una perdita finanziaria, (vii) un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

Pertanto, il titolare del trattamento, di volta in volta, sarà chiamato ad effettuare, in ottemperanza del principio di accountability di cui agli artt. 5 e 24 del GDPR, specifiche valutazioni sull’esistenza di un rischio elevato per i diritti e le libertà degli interessati, sulla base delle quali si renderà necessaria l’eventuale notifica dell’evento all’Autorità di controllo competente.

A fine di agevolare i titolari del trattamento nella valutazione del rischio, le Linee Guida individuano cinque cause di violazione di dati personali e, per ciascuna di esse, indicano (i) gli esempi di buone o cattive prassi di gestione dell’incidente di sicurezza; (ii) le specifiche modalità di identificazione della violazione, nonché i fattori che meritano particolare considerazione nell’ambito della valutazione dei rischi; (iii) i casi in cui è necessario notificare la violazione all’Autorità di controllo nazionale ed, eventualmente, informare le persone coinvolte dalla violazione dei dati.

In particolare, le cinque cause che l’EDPB ha approfondito nelle proprie Linee Guida sono:

  • l’attacco ransomware, ossia un codice malevolo (ad esempio ricevuto via email e poi aperto) che cripta i dati personali, i quali possono essere resi di nuovo disponibili attraverso un codice di decrittazione ottenuto solo dopo il pagamento di un riscatto (spesso in criptovaluta);
  • la sottrazione dei dati (cd. exfiltration data attack), ovvero un attacco che, sebbene possa assomigliare agli attacchi ransomware, si concretizza principalmente in una violazione della riservatezza dei dati e, talvolta, anche dell’integrità degli stessi;
  • l’errore umano, il quale può comportare, anche intenzionalmente, violazioni di dati personali per cui risulta talvolta notevolmente difficile adottare idonee misure per evitarle;
  • perdita di dispositivi informatici o di documenti cartacei che comportano violazioni per le quali il titolare del trattamento, al fine di porvi rimedio, deve valutare la tipologia di dati memorizzati sul dispositivo e le eventuali misure adottate prima della violazione per garantire un livello di sicurezza adeguato; e infine
  • errori nell’inoltro delle mail, ossia quei casi in cui la fonte del rischio della violazione è un errore umano non intenzionale, dovuto a una disattenzione dell’individuo che inoltra la mail. In tali circostanze, il titolare del trattamento non può intervenire ex post per rimediare all’errore, ma può anche intervenire ex ante attraverso un’attività di prevenzione, tramite la formazione del personale dipendente.

Per concludere, le Linee Guida, che integrano e aggiornano gli orientamenti già forniti negli anni passati dal WP29, offrono un contributo concreto alle imprese e alle pubbliche amministrazioni per la gestione dei data breaches proponendo, per ciascuna causa di violazione di dati, una lista di misure di sicurezza tecniche e/o organizzative volte a prevenire le relative problematiche connesse. Alla luce del loro contenuto pratico, le Linee Guida risultano, pertanto, essere uno strumento particolarmente utile per tutti gli operatori, da tenere sempre in considerazione al fine di gestire al meglio ogni eventuale violazione di dati personali.