Il Garante per la Protezione dei dati Personali, con Provvedimento sul data breach del 30 aprile 2019 (che alleghiamo in fondo all'articolo) ha fornito e utili indicazioni in merito al contenuto che deve avere la comunicazione fatta dal Titolare del trattamento ai soggetti interessati i cui dati siano stati oggetto di violazione ed al canale di comunicazione.
Ma cosa è un data breach?
L’art. 4 del Regolamento (UE) 2016/679 (di seguito, anche GDPR) contiene la definizione di “data breach”, tradotta dal nostro interprete come “violazione dei dati personali”: 12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
Tale definizione acquista una importanza notevole in quanto il Regolamento impone al Titolare del trattamento l’adozione di determinati adempimenti in caso di violazione delle misure di sicurezza (data breach). In materia di sicurezza dei sistemi e dei dati a carico delle pubbliche amministrazioni e delle imprese, infatti, il GDPR introduce – a loro carico - l’obbligo di comunicazione delle violazioni di dati personali.
Il Regolamento distingue due modalità di comunicazione del data breach:
Il Regolamento europeo specifica e disciplina, in buona sostanza, i seguenti aspetti:
L'articolo continua dopo la pubblicità
L’Autorità, nell’istruire una notificazione di data breach effettuata da un provider di posta elettronica relativamente ad un attacco informatico ai sistemi di front end per la consultazione delle caselle di posta elettronica tramite webmail, ha chiarito come debba avvenire la comunicazione agli interessati ed il canale di comunicazione da utilizzare.
Per fare ciò ha richiamato:
Sempre le citate "Linee guida", suggeriscono che il titolare del trattamento, tra le misure da adottare per far fronte alla violazione e attenuarne i possibili effetti negativi per gli interessati, "dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione" in considerazione del fatto che l'obiettivo principale della comunicazione agli interessati consiste nel fornire loro informazioni specifiche sulle misure che gli stessi possono prendere per proteggersi.
Pertanto, sulla scorta di quanto disciplinato dal Regolamento e dalle Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679, il Garante ha imposto alla Società in questione di effettuare una nuova comunicazione della violazione dei dati personali agli interessati contenente:
In riferimento, invece, al canale di contatto, sono sempre le già citate "Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679", che raccomandano al titolare del trattamento di "scegliere un mezzo di comunicazione che massimizzi la possibilità di comunicare correttamente le informazioni a tutte le persone interessate", con particolare riguardo ad evitare di utilizzare solamente il " canale di contatto compromesso dalla violazione" (per cui nel caso di specie le comunicazioni potevano nonavere raggiunto i destinatari proprio a causa della violazione avvenuta).