Regolamento - 27/04/2016 - n. 679 art. 34 - Comunicazione di una violazione dei dati personali all'interessato

I fattori da valutare secondo il Regolamento

Il PDB non va necessariamente notificato all'Autorità di controllo né va necessariamente comunicato agli interessati, occorre infatti, come anticipato, innanzitutto determinarne i due parametri chiave costituiti dalla probabilità (likelihood) di lesione ai diritti e le libertà individuali ed eventualmente (per la sola comunicazione) dalla gravità (severity) elevata della stessa. Tale valutazione del rischio va condotta tenendo conto dei seguenti quattro fattori elencati al considerando 76, disposizione che ha valore di riferimento generale:

1. natura;

2. ambito di applicazione (ma in inglese troviamo scope, ampiezza);

3. contesto;

4. finalità del trattamento.

Giova osservare che i medesimi fattori ricorrono (le variazioni lessicali essendo dovute al traduttore non al legislatore) agli articoli: 24, par. 1 e connesso considerando 74, obblighi di sicurezza del titolare del trattamento; 25, data protection by design e by default; 32, par. 1, sicurezza; 35 e considerando 89, in materia di valutazione d'impatto (“DPIA”); 39, par. 2 rispetto alle valutazioni demandate al responsabile della protezione dati (“RPD”, in inglese “DPO”). In altre parole, i fattori considerati costituiscono gli elementi chiave tipici di ogni tipologia di analisi del rischio, indipendentemente dal fatto che sia applicata a eventi potenziali o a eventi già verificati dei quali si vuole misurare la possibile incidenza sulla sfera individuale. Ai quattro elementi elencati dal considerando 76, si può aggiungere il fattore “origine del rischio” menzionato al considerando 77, che appare tuttavia una declinazione del «contesto» del trattamento.

I fattori da valutare secondo le linee guida europee

Le linee guida europee sul PDB elencano fattori ulteriori rispetto al nucleo minimo sopra richiamato, ampliando i requisiti del Regolamento con indicazioni provenienti dall'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA) e ulteriori parametri tratti dall'art. 3, par. 2 reg. (UE) n. 611/2013. In particolare, ai punti 106 e ss. delle linee guida dell'EDPB (v. riferimenti in bibliografia) sono indicati: tipo di violazione; natura, carattere sensibile e volume dei dati personali; facilità di identificazione degli interessati; gravità delle conseguenze per gli interessati; caratteristiche particolari dell'interessato (in particolare se si tratta di soggetto appartenente a categoria vulnerabile); caratteristiche particolari del titolare (in relazione alla tipologia di attività svolta, ad esempio ambito sanitario); numero di persone fisiche interessate. I fattori appena esposti, a cui potranno aggiungersene altri a seconda della tipologia di valutazione scelta (non ci sono obblighi normativi in proposito), vanno tenuti concettualmente distinti dalle nozioni di “gravità” e di “probabilità” che costituiscono propriamente gli esiti e non le premesse dell'analisi di rischio, come appare inconfutabile dalla lettura del considerando 76 e dalla stessa costruzione logica degli artt. 33, par. 1 e 34, par. 1 GDPR, v. infra.

I fattori da valutare secondo l'ENISA

Il citato documento di lavoro ENISA del 2013, espressamente richiamato dalle linee guida europee, ancorché elaborato in epoca risalente e senza una diretta relazione con la versione finale del Regolamento, enuncia i seguenti fattori sui quali procedere alla valutazione del rischio connesso al PDB: contesto (DPC, data processing context), facilità di identificazione degli interessati (EI, ease of identification), circostanze della violazione (CB, circumstances of breach). Le circostanze della violazione prendono in considerazione i seguenti elementi: perdita di riservatezza dei dati personali, perdita di integrità, perdita di disponibilità anche temporanea (vale a dire la tripartizione classica nella quale si sostanzia il PDB, v. commento subart. 4.12) GDPR). Viene inoltre considerato l'elemento soggettivo della persona o delle persone a cui è riconducibile la violazione. Sono prese in considerazione quattro tipologie di dati personali: semplici, comportamentali, finanziari e sensibili, scelta che determina una certa compressione della realtà entro un modello astratto, non necessariamente dialogante con quello del Regolamento. Sono espressamente esclusi, nella formula di calcolo iniziale, altri fattori, in particolare i seguenti: volume degli interessati e intelligibilità/non intelligibilità delle informazioni, che sono tuttavia considerati successivamente quali “flag” concorrenti nella valutazione finale. Si tratta in entrambi i casi di parametri significativi nell'assetto del Regolamento, il primo essendo componente della nozione di “larga scala”, la quale a sua volta ha rilevanza nella valutazione della gravità, il secondo, attenendo alla cifratura delle informazioni, occupa un ruolo chiave a livello sistematico e riceve peraltro espressa valorizzazione all'art. 34, par. 3, lett. a) GDPR. Per contestualizzare in maniera corretta il metodo ENISA è allora bene dare atto che, per espressa dichiarazione della stessa Agenzia europea, esso non è inteso come strumento esaustivo e generale, ma i suoi esiti vanno piuttosto assunti quali indicazioni operative (ivi, p. 4). Pregio principale del metodo, e insieme suo limite, è quello di fornire una metrica esatta della gravità del rischio secondo una logica verificabile e un'impostazione il più possibile algebrica. La formula di calcolo è la seguente: DPC * EI + CB, dove l'elemento chiave (the core of the methodology) è il contesto del trattamento (DPC) mentre la facilità di identificazione (EI) costituisce valore correttivo e le circostanze della violazione (CB) sono aggiunte quali elementi di adattamento al caso specifico. L'ENISA classifica poi gli esiti della valutazione secondo quattro livelli di gravità: basso, medio, elevato, molto elevato, laddove il Regolamento lavora su una logica binaria: rischio elevato o non elevato, cfr. artt. 33.1 e 34.1, cfr. altresì considerando 76 e 77. Occorre anche notare che la probabilità del rischio non riceve nel metodo ENISA un'autonoma valutazione, e questo costituisce ulteriore fattore di scostamento rispetto alla logica del Regolamento. La non perfetta sovrapposizione del metodo in commento con l'assetto normativo suggerisce di evitare applicazioni automatiche, quanto piuttosto di fare utilizzo accorto e prudente della logica sottostante allo schema proposto dall'Agenzia, assistito da opportune correzioni critiche che recepiscano esigenze di conformità anche squisitamente giuridica. Va precisato che il titolare del trattamento ha la libertà e insieme l'onere di scegliere l'approccio che ritiene più opportuno alla valutazione del rischio, ferma restando la qualità dei risultati attesi e la conformità con il Regolamento.

«L'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA) ha elaborato raccomandazioni in merito a una metodologia di valutazione della gravità di una violazione, che possono essere utili per i titolari del trattamento e i responsabili del trattamento nella progettazione del loro piano di risposta per la gestione delle violazioni» (EDPB, LG PDB, punto 120, trad. italiana conforme al medesimo passaggio presente anche nelle precedenti linee guida).

Esiti della valutazione: probabilità e gravità

L'analisi del rischio deve avere come esito la determinazione dei seguenti due parametri (considerando 76 GDPR):

1. la probabilità delle conseguenze del PDB per l'interessato;

2. la gravità delle stesse.

Le conseguenze pregiudizievoli che potrebbero derivare dal PDB, e che vanno perciò valutate in termini di probabilità e di gravità, sono quelle elencate ai considerando 75 e 85 (cfr. anche i considerando 89 e 91), ossia: che l'interessato perda l'esercizio del controllo sui dati personali, che subisca discriminazioni, limitazione di diritti, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica. Si rimanda per un approfondimento infra.

Requisiti che determinano gli obblighi di notificazione e comunicazione

Dei due esiti anzidetti, gravità e probabilità, il secondo è autonomamente sufficiente a innescare l'obbligo di notificazione all'Autorità garante, che prescinde perciò da valutazioni in ordine alla severità delle conseguenze pregiudizievoli per l'interessato: anche eventi che comportano un rischio probabile ma non elevato devono essere portati alla conoscenza dell'autorità di controllo. Ciò significa che, per osservare i termini imposti dal dettato normativo (72 ore dalla conoscenza dell'evento), il titolare del trattamento, nei tempi compressi di reazione a un PDB, dovrà innanzitutto concentrare le risorse di analisi sulla determinazione della probabilità, e immediatamente dopo, in caso di rischio probabile, anche sulla comprensione della sua gravità. Ove il rischio stimato sia elevato, oltreché probabile, il titolare del trattamento sarà tenuto a procedere altresì alla comunicazione agli interessati informandoli dell'evento occorso, della sua natura, dei dati di contatto per ottenere maggiori informazioni, delle probabili conseguenze e delle misure di reazione e contenimento. Giova notare sul punto specifico che la traduzione italiana del primo paragrafo dell'art. 34 GDPR può risultare fuorviante, non facendo menzione, diversamente dal primo paragrafo dell'art. 33, del requisito della probabilità del rischio. La frase «è suscettibile di presentare un rischio elevato» va tuttavia resa come «è probabile che presenti un rischio elevato» (nel testo inglese si trova «is likely to result in a high risk», ove «likely» vale «probabile»). In definitiva, tutte le volte in cui sussistono le condizioni per la comunicazione agli interessati sussistono anche le condizioni per la notifica al Garante, ma non vale necessariamente l'inverso.

«Se il titolare del trattamento omette di notificare una violazione dei dati all'autorità di controllo o agli interessati oppure a entrambi, nonostante siano soddisfatte le prescrizioni di cui agli artt. 33 e/o 34, l'autorità di controllo dovrà effettuare una scelta e prendere in considerazione tutte le misure correttive a sua disposizione, tra cui l'imposizione di una sanzione amministrativa pecuniaria appropriata, in associazione a una misura correttiva ai sensi dell'art. 58, paragrafo 2, oppure come sanzione indipendente. Qualora l'autorità opti per una sanzione amministrativa pecuniaria il suo valore può ammontare fino a un massimo di 10.000.000 EUR o fino al 2% del fatturato totale annuo globale di un'impresa ai sensi dell'art. 83, paragrafo 4, lett. a), del Regolamento» (EDPB, LG PDB, punto 28, trad. italiana conforme al medesimo passaggio delle precedenti linee guida).

La probabilità nelle linee guida europee

Concettualmente, la probabilità è una possibilità qualificata, ossia un cinquanta percento più uno in un'ideale scala numerica, alla quale tuttavia i casi concreti risultano spesso irriducibili. Il Regolamento non fornisce strumenti di misura della probabilità del rischio. Le linee guida europee invece rivelano un tendenziale appiattimento della nozione di probabilità su quella stessa di PDB, come se la probabilità del rischio fosse di regola intrinseca all'evento. Per esempio, secondo le linee guida sussiste probabilità del rischio quando si riscontra un confidentiality breach, mentre la presenza di un sistema di cifratura robusto e la sussistenza di una copia di backup rispristinabile valgono a escludere la sussistenza di un PDB notificabile (ancorché debba comunque tenersene documentazione interna ai sensi dell'art. 33.5). Rappresenta comunque fattore da valorizzare la circostanza che il primo paragrafo dell'art. 33 GDPR sia costruito in negativo («a meno che sia improbabile che la violazione dei dati personali presenti un rischio») e che, dunque, tutti i PDB siano notificabili, salva l'applicazione di elementi concretamente escludenti la probilità del rischio.

Ipotesi tipizzate di gravità

La valutazione della gravità è esito di un'operazione complessa, ma necessaria in quanto richiesta al fine sia di apprestare le adeguate misure di risposta a un PDB sia di determinare se siano integrate le condizioni in cui è necessario procedere alla comunicazione agli interessati, se cioè vi sia probabilità di un rischio di gravità elevata. Sussistono nel Regolamento, in particolare ai considerando 75, 85, 89 e 91, alcune ipotesi tipizzate di situazioni di rischio, che è utile analizzare. Gli ultimi due considerando (89 e 91) concernono più esattamente le condizioni nelle quali è obbligatorio procedere a valutazione d'impatto (“DPIA”), si vedrà più avanti perché rilevano.

Seguendo l'ordine, il considerando 75 reca un elenco di ipotesi pregiudizievoli, alle quali può condurre il trattamento, che sono espressamente qualificate come ipotesi di rischio per i diritti e le libertà dell'interessato. L'elenco corrisponde, ma è più ampio, a quello riportato al considerando 85, relativo, quest'ultimo, alle tipologie di danno-conseguenza tipicamente risultanti da una violazione dei dati personali non affrontata correttamente. Più precisamente, al rischio che si verifichino le conseguenze dannose indicate anche nel considerando 85 (impedimento dell'esercizio di controllo dell'interessato sui propri dati personali, discriminazione, furto o usurpazione d'identità, ecc.), il considerando 75 aggiunge le seguenti ulteriori ipotesi: trattamento di dati sensibili o giudiziari; valutazione di aspetti personali, analisi predittive e profilazione (es. relative al rendimento professionale, alla situazione economica, alla salute, a preferenze o interessi personali, all'affidabilità, al comportamento, ubicazione e spostamenti); vulnerabilità degli interessati (es. minori); larga scala di interessati e di dati personali.

Tra quelli elencati appaiono casi di rischio elevato quantomeno quelli concernenti dati particolari o giudiziari, posto che è lo stesso legislatore a collocare queste tipologie di informazioni, agli articoli 9 e 10 GDPR, su un piano separato e a tutela rafforzata. Quanto alla restante casistica estraibile dai considerando 75 e 85, confortano le citate linee guida, che collocano in maniera espressa alcune di dette ipotesi nella categoria del rischio elevato, cfr. ivi punto 102, per il quale si rimanda al passaggio riportato infra.

Indicazioni ancora più precise su esempi di probabile rischio elevato vengono dall'altro gruppo di disposizioni, ossia dai considerando 89 e 91. Qui occorre osservare che la formulazione dell'art. 35, par. 1 GDPR nella versione italiana del Regolamento necessita di precisazioni. La clausola chiave che innesca l'applicazione dell'art. 35, par. 1 GDPR, ossia l'espressione «può presentare rischio elevato», andrebbe infatti correttamente intesa come «è probabile che presenti rischio elevato», cfr. in tal senso anche le linee guida WP29/EDPB sulla DPIA. In inglese troviamo infatti l'espressione: «is likely to result in a high risk». Tale espressione risulta dunque identica a quella (altrettanto malamente tradotta) dell'art. 34.1 GDPR. In sostanza, i requisiti che rendono obbligatorio procedere a DPIA (in chiave preventiva del rischio) e a comunicazione agli interessati (a evento rischioso già avvenuto o in corso) sono i medesimi. Ciò permette di valorizzare utilmente gli indici individuati dal legislatore europeo all'art. 35 e in modo più minuzioso ai citati considerando 89 e 91. Costituiscono dunque ipotesi tipizzate di probabilità di rischio elevato le seguenti: utilizzo di nuove tecnologie; trattamenti di nuovo tipo e in relazione ai quali il titolare del trattamento non abbia ancora effettuato una valutazione d'impatto; trattamenti che richiedono una nuova valutazione d'impatto alla luce del tempo trascorso dal trattamento iniziale; trattamenti su “larga scala” di dati particolari o giudiziari; trattamenti che rendono più difficoltoso per gli interessati l'esercizio dei loro diritti; decisioni su persone fisiche determinate in seguito a valutazione sistematica e globale di aspetti personali, basata sulla profilazione di tali dati, o in seguito al trattamento di dati sensibili o giudiziari; sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante dispositivi optoelettronici (videosorveglianza), ecc..

Si notano peraltro anche aree di sovrapposizione, e dunque di conferma incrociata, tra le tipologie di rischio elencate ai considerando 75 e 85 e quelle, certamente a rischio elevato, elencate ai considerando 89 e 91. In sostanza, il GDPR fornisce una casistica di ipotesi rilevanti ai fini dell'applicazione degli artt. 34 e 35 e un elenco di altre fortemente papabili. Naturalmente, specie per queste ultime, si rende indispensabile un'analisi del caso concreto, al fine di evitare facili automatismi applicativi.

«[... L]a comunicazione di una violazione agli interessati deve essere effettuata se è probabile che la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche. Tale rischio [id est elevato, n.d.a.] sussiste quando la violazione può comportare un danno fisico, materiale o immateriale per le persone fisiche i cui dati sono stati violati. Esempi di tali danni sono la discriminazione, il furto o l'usurpazione d'identità, perdite finanziarie e il pregiudizio alla reputazione. Il verificarsi di tale danno [id est danno che può conseguire a un rischio elevato, n.d.a.] dovrebbe essere considerato probabile quando la violazione riguarda dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, oppure che includono dati genetici, dati relativi alla salute o dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza» (EDPB, LG PDB, punto 102, trad. italiana conforme al medesimo passaggio nelle linee guida precedenti).

I termini per la notificazione e per la comunicazione

La notificazione va effettuata entro il termine di 72 ore dalla conoscenza dell'evento, tuttavia, anche in considerazione di tale tempistica molto compressa (che esprime del resto il rilievo giuridico dell'istituto e dei beni sottesi) è concesso un frazionamento informativo che rifletta il progredire dell'indagine condotta sul PDB dal titolare del trattamento. Naturalmente, l'estensione dei tempi d'indagine dipende anche dalla sussistenza o no di idonee misure di sicurezza organizzative e di governance dei processi, che permettano di identificare tempestivamente i PDB e ne facilitino e indirizzino le operazioni di accertamento e mitigazione, per cui la carenza delle stesse, e il conseguente ritardo nella conoscenza dell'evento e nel successivo accertamento, non può tornare a beneficio di chi le ha trascurate. Il titolare potrà cioè giovarsi utilmente del frazionamento delle informazioni solo quando esso sia logicamente collegato alle caratteristiche del PDB e non alle deficienze della propria organizzazione. Quanto alla sussistenza della probabilità del rischio, ossia dell'elemento che innesca l'obbligo di notifica, l'onere della prova, in base ai principi generali e in ogni caso per espressa previsione del considerando 85, grava sul titolare del trattamento, che, in mancanza di notificazione, è tenuto a «dimostrare» al Garante che il rischio per l'interessato è da ritenersi improbabile. Allo stesso modo, grava sul titolare del trattamento l'onere di dimostrare la correttezza del frazionamento informativo.

Quanto invece ai termini per la comunicazione agli interessati, quest'ultima va effettuata «senza ingiustificato ritardo» (art. 34, par. 1) e il considerando 86 precisa che deve essere resa «non appena ragionevolmente possibile». Intervengono vari fattori nella valutazione (cfr. anche considerando 86 e 88):

– i tempi che potrebbe richiedere, a seconda dei casi, la determinazione della rilevanza del rischio, inclusi quelli connessi alla partecipazione nella valutazione da parte dell'Autorità di controllo (considerando 86 e art. 34.4);

– la necessità, per altro verso, di non privare comunque l'interessato dell'attuazione di contromisure tempestive, anche in relazione a un semplice fumus di pericolo grave. Si pensi a fenomeni come il furto d'identità, la sottrazione di dati sensibili o la vulnerabilità di chiavi di cifratura, es. chiavi di un dispositivo di firma digitale o codici d'accesso a conti bancari online, che possono richiedere urgenza d'intervento (considerando 86);

– la necessità di rispettare le indagini eventualmente attivate da parte di autorità inquirenti. La divulgazione della violazione potrebbe infatti, in casi specifici, ostacolare profili di segretezza dell'indagine (considerando 88).

In ogni caso, il titolare è tenuto a predisporre, evidentemente in via anticipata, idonee procedure (ossia policy in materia di PDB) «per stabilire immediatamente se c'è stata violazione dei dati personali e informare tempestivamente l'autorità di controllo e l'interessato» (considerando 87), dunque eventuali inadempimenti, sotto questo profilo, costituiranno elementi di responsabilità in capo al titolare (cfr. anche art. 24, par. 2 e infra § 15), né questi potrà giustificare ritardi motivandoli sul numero degli interessati coinvolti, salve ipotesi eccezionali. Ovviamente, non costituisce neppure apprezzabile ragione di ritardo nella comunicazione l'interesse del titolare di evitare danni d'immagine conseguenti alla divulgazione della notizia della violazione. Gli interessati, va notato, non sono vincolati a obblighi di riservatezza nei confronti del titolare.

«È altresì importante ricordare che, in alcuni casi, la mancata notifica di una violazione potrebbe rivelare l'assenza di misure di sicurezza o la loro inadeguatezza. Gli orientamenti del Gruppo di lavoro in materia di sanzioni amministrative affermano che “qualora nell'ambito di un singolo caso siano state commesse congiuntamente più violazioni diverse, l'autorità di controllo può applicare le sanzioni amministrative pecuniarie a un livello che risulti effettivo, proporzionato e dissuasivo entro i limiti della violazione più grave”. In tal caso, l'autorità di controllo avrà altresì la possibilità di comminare sanzioni per la mancata notifica o comunicazione della violazione (artt. 33 e 34), da un lato, e l'assenza di misure di sicurezza (adeguate) (art. 32), dall'altro, in quanto si tratta di due infrazioni separate» (EDPB, LG PDB, punto 28, trad. italiana conforme al medesimo passaggio nelle linee guida precedenti).

Conoscenza della violazione

Il momento della conoscenza della violazione è decisivo, in quanto il termine di 72 ore non decorre dalla verificazione della violazione ma da quando il titolare del trattamento ne è edotto. Deve ritenersi che questi sia tenuto a indicare nella notificazione al Garante e a documentare nel registro dei PDB il modo in cui è venuto a conoscenza della violazione, sia perché le modalità di conoscenza sono strettamente collegate con accertamenti chiave cui è in ogni caso tenuto il titolare, quali la comprensione delle modalità di propagazione dell'evento e la sua eziologia, sia perché lo specifico modo e le circostanze in cui è venuto a conoscenza della valutazione incidono appunto sul termine a quo per la notifica.

Ad esempio, il ricevimento di segnalazioni e allerte la cui fondatezza sia ancora da verificare non dovrebbe essere considerato di per sé elemento che determina la conoscenza di un PDB, quanto piuttosto presupposto per l'indagine interna in merito alla sua possibile configurazione, mentre la conoscenza effettiva della violazione andrebbe collegata soltanto all'eventuale esito positivo di tale indagine. Ritardi nell'individuazione della violazione dovuti a insufficienti od omessi controlli interni, a carenza di misure di sicurezza tecniche e organizzative o a semplici scelte protettive della reputazione costituiscono altrettanti elementi che il Garante dovrà vagliare in sede di provvedimenti e di misure sanzionatorie. Da segnalare che non è invece previsto, all'art. 33, par. 2, un termine preciso in capo al responsabile del trattamento per la comunicazione al titolare di PDB. Si può ovviare pattiziamente imponendo specifici parametri temporali al responsabile nel contratto stipulato ex art. 28 GDPR. Ad ogni modo il criterio del «senza ingiustificato ritardo» per l'informazione del responsabile al titolare, pur non indicando parametri esatti, non ammette dilazioni arbitrarie.

«Il momento esatto in cui il titolare del trattamento può considerarsi “a conoscenza” di una particolare violazione dipenderà dalle circostanze della violazione. In alcuni casi sarà relativamente evidente fin dall'inizio che c'è stata una violazione, mentre in altri potrebbe occorrere del tempo per stabilire se i dati personali sono stati compromessi. Tuttavia, l'accento dovrebbe essere posto sulla tempestività dell'azione per indagare su un incidente per stabilire se i dati personali sono stati effettivamente violati e, in caso affermativo, prendere misure correttive ed effettuare la notifica, se necessario» (EDPB, LG PDB, punto 33, trad. italiana conforme al medesimo passaggio nelle linee guida precedenti).

Inoltre, «se una persona, un'organizzazione o un'altra fonte informa il titolare del trattamento di una potenziale violazione o se egli stesso rileva un incidente di sicurezza, il titolare del trattamento può effettuare una breve indagine per stabilire se la violazione si sia effettivamente verificata. Durante il periodo di indagine il titolare del trattamento non può essere considerato “a conoscenza”. Tuttavia, si prevede che l'indagine iniziale inizi il più presto possibile e stabilisca con ragionevole certezza se si è verificata una violazione; può quindi seguire un'indagine più dettagliata» (EDPB, LG PDB, punto 34, trad. italiana conforme al medesimo passaggio nelle linee guida precedenti).

In una vicenda nazionale che riguardava l'assegnazione illegittima di plurime linee telefoniche a un soggetto che non le aveva mai attivate e lo svolgimento dei connessi trattamenti di dati personali, inclusi quelli in materia di recupero crediti e l'inclusione in una banca dati ad uso delle forze di polizia, ipotesi complessivamente integrante PDB, il Garante ha rilevato, anche in relazione al grado di diligenza atteso dal titolare del trattamento: «[... Q]uanto alla consapevolezza dell'erronea assegnazione delle linee, dagli elementi acquisiti in atti risulta che la Società sia venuta a conoscenza direttamente o indirettamente della natura (quantomeno) controversa delle menzionate assegnazioni in più circostanze (pendente un ampio arco temporale) e, in particolare, in occasione:

a) delle predette contestazioni da parte del reclamante delle somme pretese dagli incaricati del recupero credito nell'interesse della Società rispetto a inadempimenti generati da plurime utenze residenziali collocate nelle parti più disparate del territorio nazionale;

b) delle segnalazioni indirizzate alla Società da parte di altri clienti nelle quali, già a far data dal 2005, veniva evidenziata l'erroneità del codice fiscale facente capo al reclamante presente nelle proprie fatture [...];

c) delle comunicazioni trasmesse dalla Società ad alcuni clienti, le cui numerazioni risultavano erroneamente assegnate al reclamante, volte a “regolarizzare” il codice fiscale [...].

Quanto poi alla diligenza che la Società avrebbe dovuto porre nelle verifiche alla luce della avvenuta conoscenza degli eventi lamentati, quantomeno per porre argine al pregiudizio per il reclamante e per gli altri interessati, deve ritenersi che dette verifiche non possono non ritenersi ordinarie per un operatore economico di rilevanza primaria nel settore delle comunicazioni elettroniche. In proposito, basti peraltro considerare che nel corso delle verifiche sono emerse sin da subito una pluralità di anomalie [...] che, rilevate a seguito di una ricognizione poco più che attenta da parte degli incaricati della Società, avrebbero consentito di porre in essere forme efficaci di intervento» (GPDP, 6 aprile 2017, n. 176 [6376175], § 4.3.2 e ss.).

Casi particolari: trattamenti transfrontalieri e titolari stabiliti extra UE

In materia di trattamenti transfrontalieri, le linee guida europee ritengono sempre competente l'autorità di controllo capofila (EDPB, LG PDB, punto 69). Si segnala unicamente che il testo normativo (art. 33.1 GDPR) richiama tuttavia in modo espresso l'art. 55 e non il 56 GDPR. Potrebbe desumersene l'inapplicabilità, nel caso di specie, della regola del cd. “sportello unico” (one stop shop). La ratio sarebbe da ravvisare nella preferenza di un criterio di prossimità rispetto all'evento emergenziale, attesa l'urgenza di intervento, di coordinamento, di serrata interlocuzione e di una diretta attività istruttoria dell'autorità di controllo. Sotto altro profilo, ed è questa la soluzione suggerita dalle linee guida, sul piano sistematico può ritenersi che l'indicazione dell'art. 55 evolva necessariamente, in caso di trattamento transfrontaliero, nell'applicazione dell'art. 56.

Quanto ai titolari di trattamento stabiliti extra UE, gli istituti della notificazione e della comunicazione si impongono anche a tali soggetti nella misura in cui sia loro applicabile il Regolamento, in virtù dell'art. 3, par. 2 GDPR. Il rappresentante presso l'Unione sarà il punto di contatto delle autorità di controllo UE, senza pregiudizio per queste ultime di relazionarsi anche direttamente al titolare estero-stabilito. Nelle precedenti linee guida dell'(ex) Gruppo di lavoro 29 si raccomandava di inviare la notifica all'autorità di controllo dello Stato membro in cui è stabilito il rappresentante del titolare. Nelle attuali linee guida si precisa, con maggior rigore giuridico, che la mera presenza di un rappresentante non permette la fruizione del beneficio dello sportello unico, con la conseguenza che la notifica va assolta nei confronti di tutte le autorità di controllo di tutti gli Stati membri i cui interessati di trattamento siano attinti dalla violazione, cfr. EBPB, linee guida, punto 73.

Contenuto della notificazione e della comunicazione

Ancorché non espressamente indicato dall'art. 33, par. 3 e dal considerando 85, deve ritenersi implicito poiché pertinente rispetto all'obbligo di dare conto della «natura della violazione» che la notificazione contenga, nei limiti del possibile ed eventualmente anche facendo uso di comunicazioni frazionate, l'individuazione dell'origine del PDB in termini di nesso eziologico, la determinazione delle modalità di propagazione della violazione (dunque i processi compromessi, il che presuppone una governance degli stessi), i trattamenti e i dispositivi coinvolti: questi elementi costituiscono infatti chiavi basilari di indagine, senza le quali il titolare non è neppure in grado di intervenire per arrestare o contenere l'emergenza. Inoltre, in difetto, il titolare del trattamento non appare nella possibilità di individuare né «le categorie e il numero approssimativo» di interessati e di dati personali, come esige la lett. a) del terzo paragrafo, né di descrivere le probabili conseguenze della violazione di dati personali (lett. c)), essendo elementi che evidentemente dipendono dalla comprensione dei trattamenti effettivamente incisi, né certamente di descrivere in modo appropriato le misure di contenimento adottate e adottande (lett. d)). Occorre inoltre fornire un punto di contatto, di preferenza ma non necessariamente il DPO.

La comunicazione ha gli stessi contenuti della notificazione (per la natura della violazione, cfr. cons. 86), ma non è richiesta l'indicazione delle categorie e del numero approssimativo di interessati e di dati personali. È invece fondamentale che la comunicazione spieghi agli interessati, con un linguaggio semplice, chiaro e facilmente comprensibile (art. 12), quali loro specifici dati personali sono stati o possono essere compromessi, che cosa questo significhi in termini di conseguenze pregiudizievoli, e soprattutto quali misure sono state adottate dal titolare e quali azioni si suggerisce agli interessati di intraprendere per stornare o limitare il danno. Solo in questo modo potrà considerarsi soddisfatto l'obbligo di descrizione all'interessato delle probabili conseguenze del PDB, richiamato dall'art. 34, par. 2 GDPR. Ad esempio, il titolare del trattamento deve ragionevolmente ipotizzare che gli interessati possano avere utilizzato per più siti diversi le medesime credenziali di autenticazione, nonostante si tratti di pratica sconsigliata in termini di sicurezza, e dunque, se il PDB ha compromesso queste ultime, il titolare dovrà indicare di provvedere alla loro immediata sostituzione ovunque siano state impiegate. Ovviamente, queste valutazioni incidono anche sull'ampiezza della platea di interessati destinatari della comunicazione ai sensi dell'art. 34.

Sotto altro profilo, va notato che per l'interessato la comprensione delle modalità di verificazione della violazione costituisce un elemento essenziale di intelligenza anche ai fini dell'esercizio delle tutele, ad esempio al fine di verificare se sussistano fondate ragioni di merito per un'azione. L'interessato potrà altresì esercitare il diritto di accesso ai documenti amministrativi presso l'Autorità garante, in applicazione delle leggi vigenti e nell'osservanza degli specifici limiti, al fine di prendere conoscenza del contenuto delle notificazioni rese dal titolare al Garante e di ogni altro aspetto rilevante.

In una vicenda di PDB ai danni di un istituto di credito, il Garante ha deciso nei termini che seguono: «Rilevato che [...] s.p.a., a fronte di una violazione che ha coinvolto complessivamente 731.519 interessati, ha provveduto a informare direttamente soltanto i 6.859 interessati per i quali era stata “individuata anche la password“ (rectius “PIN”), al dichiarato fine di “ridurre al più breve tempo possibile il periodo di durata del blocco della password” tempestivamente disposto per contenere gli effetti della violazione; considerato, tuttavia, che l'acquisizione dei citati dati personali [... omissis, ma diversi dalla password/pin, n.d.a.] è da ritenere già di per sé fonte di potenziale grave pregiudizio per gli interessati [...]. Rilevate la gravità e la permanenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione, la quale può provocare il furto o l'usurpazione di identità, la perdita di controllo da parte degli interessati sui dati personali che li riguardano, anche idonei a rivelare la loro situazione economica, nonché l'utilizzo dei dati personali degli interessati a scopo di phishing; ritenuto che, allo stato, non risulta essere soddisfatta nessuna delle condizioni di cui all'art. 34, par. 3, del Regolamento; tutto ciò premesso, il Garante ai sensi dell'art. 58, par. 2, lett. e), del Regolamento, ingiunge a [...] di comunicare, senza ritardo e comunque entro trenta giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali a tutti gli interessati che non siano già stati destinatari della comunicazione di avvenuta violazione, fornendo almeno le informazioni di cui all'art. 34, par. 2, del Regolamento [...]» (GPDP, 13 dicembre 2018, n. 499 [9076378]).

«Nel comunicare una violazione agli interessati si devono utilizzare messaggi dedicati che non devono essere inviati insieme ad altre informazioni, quali aggiornamenti regolari, newsletter o messaggi standard. Ciò contribuisce a rendere la comunicazione della violazione chiara e trasparente. Esempi di metodi trasparenti di comunicazione sono: la messaggistica diretta (ad esempio messaggi di posta elettronica, SMS, messaggio diretto), banner o notifiche su siti web di primo piano, comunicazioni postali e pubblicità di rilievo sulla stampa. Una semplice comunicazione all'interno di un comunicato stampa o di un blog aziendale non costituirebbe un mezzo efficace per comunicare una violazione all'interessato. Il Gruppo di lavoro raccomanda al titolare del trattamento di scegliere un mezzo che massimizzi la possibilità di comunicare correttamente le informazioni a tutte le persone interessate. A seconda delle circostanze, ciò potrebbe significare che il titolare del trattamento dovrebbe utilizzare diversi metodi di comunicazione, anziché un singolo canale di contatto» (EDPB, LG PDB, punti 89 e 90, trad. italiana conforme al medesimo passaggio nelle linee guida precedenti).

Casi di esclusione della comunicazione

I casi in cui non è dovuta la comunicazione sono espressamente indicati al paragrafo 3 dell'art. 34. Costituisce innanzitutto scriminante l'aver adottato di tecniche di cifratura (nella misura in cui questa sia robusta). Si potrebbe conseguire il medesimo risultato anche ove siano stati offuscati attraverso pseudonimizzazione elementi identificativi e altri fattori individuanti, sempre che si possa escludere con ragionevole certezza l'accessibilità da parte di soggetti non autorizzati alle informazioni ulteriori idonee a individuare l'interessato (cfr. cons. 26). Si tratta di una valutazione complessa. Quanto alle altre ipotesi di esclusione della comunicazione, misura atta a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà dell'interessato appare l'intervento immediato del titolare nei confronti del soggetto che abbia avuto accesso ai dati personali, prima che questi sia in grado di utilizzarli in qualsiasi modo. Quale esempio di sforzo sproporzionato per l'assolvimento degli obblighi di contatto, si pone il caso in cui «i dati di contatto siano stati persi a causa della violazione o non siano mai stati noti» (cfr. EDPB, LG PDB, punto 97). In ipotesi del genere, il titolare dovrà individuare idonei strumenti di pubblicità e di facilitazione.

Il Registro dei PDB

Il titolare documenta qualsiasi violazione dei dati personali, a prescindere dal fatto che siano cioè dovute la notifica e la comunicazione. La relativa documentazione è accessibile al Garante e permette di verificare il rispetto delle disposizioni (art. 33, par. 5). Si tratta di un'evidente applicazione del principio di accountability. Nella prassi, strumento efficiente per assolvere all'obbligo di documentazione è la tenuta di un apposito registro (il legislatore si limita a richiedere una “documentazione”). Il registro potrà essere separato o inserito quale sezione di quelli generali obbligatori ai sensi dell'art. 30, parr. 1 e 2 (EDPB, LG PDB, nota 47). Il metodo e la struttura del documento sono rimessi al titolare del trattamento, i contenuti dovrebbero comunque riflettere quelli dell'art. 33, par. 3 e dovrebbero recare traccia delle valutazioni che hanno portato a ritenere sussistenti oppure a escludere gli obblighi di notificazione e di comunicazione. Va notato che alcune tipologie di eventi potrebbero essere descritte come dei PDB “in potenza”, si pensi al caso di smarrimento/furto di dispositivi protetti da cifratura, la cui robustezza nel tempo occorre tenere monitorata. In una situazione di questo genere, pur non venendo in considerazione a stretto rigore un PDB attuale, ci si trova di fronte a un evento che potrebbe esserlo in futuro, di qui l'opportunità di annotazione nel registro per tenerne traccia.

La policy interna in materia di PDB

Non è espressamente indicato un obbligo di dotarsi di una policy per la gestione del PDB, ma esso è desumibile da almeno due disposizioni, il considerando 87 e l'art. 24, par. 2 GDPR. Giova inoltre osservare che la predisposizione di una policy (e la formazione del personale che ne deve accompagnare l'effettiva attuazione) costituisce misura organizzativa pressoché indispensabile rispetto a emergenze connotate da carattere espansivo, da tempi di risposta estremamente contingentati e dall'esigenza agire in parallelo su più fronti anziché in sequenza. In quanto misura organizzativa, dovrà essere appunto adottata in applicazione dell'art. 24.2 GDPR (dove “politiche”, nel testo, traduce l'inglese “policy”), posto che il limite della proporzionalità rispetto alle attività di trattamento, indicato nella norma, appare facilmente superato in realtà appena strutturate.

Va altresì ricordato il secondo paragrafo dell'art. 32 GDPR, in materia di misure di sicurezza, che richiama verbatim i contenuti della definizione di PDB di cui all'art. 4.12), chiarendo che l'adeguato livello di sicurezza atteso dal titolare e dal responsabile deve essere «in special modo» parametrato proprio sui rischi derivanti da un PDB. In definitiva, misure di sicurezza che non tengano conto dei rischi specifici connessi con un PDB sono da considerarsi inadeguate. Il considerando 87 dispone: «È opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c'è stata violazione dei dati personali e informare tempestivamente l'autorità di controllo e l'interessato». La sussistenza di una policy specifica costituisce sotto questo profilo la misura organizzativa più immediata.

Il ruolo del DPO nella gestione del PDB

Formalmente, il DPO è coinvolto nella gestione di un PDB solo in quanto punto di contatto per il Garante e per gli interessati, cfr. artt. 33, par. 3, lett. b) e 34, par. 2 GDPR. Ciò non toglie che all'interno della struttura del titolare del trattamento sia certamente tra i referenti maggiormente appropriati per svolgere il ruolo di coordinamento tecnico-giuridico e soprattutto di comprensione dei profili normativi necessari in un evento di PDB. È da attendersi pertanto il suo coinvolgimento nella valutazione e nell'assistenza tecnico-giuridica sull'evento. Tale funzione straordinaria del DPO andrebbe previamente contrattualizzata. Ugualmente preziosa potrebbe rivelarsi l'assistenza del DPO nella documentazione degli eventi nell'apposito registro, v. supra § 14. Anche in tal caso è opportuna una contrattualizzazione specifica.

«[...] Il responsabile della protezione dei dati dovrebbe svolgere un ruolo chiave nel fornire assistenza nella prevenzione delle violazioni o nella preparazione alle stesse, fornendo consulenza e monitorando il rispetto delle norme, nonché durante una violazione (ossia nel processo di notifica all'autorità di controllo) e durante qualsiasi successiva indagine da parte dell'autorità di controllo. In tale ottica, l'EDPB raccomanda di informare tempestivamente il responsabile della protezione dei dati dell'esistenza di una violazione e di coinvolgerlo nella gestione delle violazioni e nel processo di notifica» (EDPB, LG PDB, punto 133, trad. italiana basata sul medesimo passaggio delle precedenti linee guida, con minimo aggiornamento).

Esempi applicativi

Va segnalato da ultimo che le menzionate linee guida EDPB 9/2022 forniscono, come del resto le precedenti, una rassegna di esempi applicativi delle regole menzionate, e due allegati: un diagramma di flusso che sintetizza gli incombenti da osservare (allegato A) e un'ulteriore tabella recante ipotesi e conseguenti adempimenti e (allegato B). Inoltre, un'ampia casistica di spiccato interesse, anche sul piano delle operazioni logico-giuridiche da seguire, è dettagliatamente discussa nelle Linee guida EDPB 01/2021.