Nell’ipotesi in cui un’organizzazione reagisca prontamente ad un data breach, e sia dunque in grado di notificare con tempestività ed entro le 72 ore previste dall’art. 33 GDPR l’evento di violazione all’Autorità Garante per la protezione dei dati personali, è possibile ritenere sufficiente questo adempimento inserito all’interno delle procedure di incident response per contenere l’evento o mitigarne le conseguenze?
La risposta non può che essere negativa, non soltanto da un punto di vista normativo ma anche per logica: è necessario valutare se e in che modo devono essere coinvolti gli interessati cui fanno riferimento i dati personali oggetto di violazione comunicando loro l’accaduto. Altrimenti la gestione dell’incidente che coinvolge dati personali sarebbe incompleta, in quanto andrebbe a valutare l’impatto e le contromisure soltanto relativi all’organizzazione e non agli interessati.
L’art. 34 GDPR a riguardo è chiaro: “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”. Tale evenienza prevede dunque una valutazione di rischio che deve essere riferita non più ad eventi ipotetici come nel caso di una valutazione d’impatto ai sensi dell’art. 35 GDPR o per la predisposizione e verifica delle misure di sicurezza ai sensi dell’art. 32 GDPR, bensì ad un evento accaduto. Il focus si sposta dunque sul potenziale impatto per gli interessati valutando le circostanze della violazione, il contesto del trattamento, la capacità identificativa dei dati e la gravità delle conseguenze per gli interessati.
Tale obbligo viene meno in caso sussista almeno una delle condizioni indicate dall’art. 34.3 GDPR, ovverosia:
- la predisposizione ed applicazione di misure adeguate di protezione “in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura”;
- l’adozione di misure di contenimento del rischio “atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati”;
o altrimenti l’ipotesi secondo cui la comunicazione individuale richiederebbe sforzi sproporzionati e si scelga di optare per una comunicazione pubblica “tramite la quale gli interessati sono informati con analoga efficacia.”.
Sotto il profilo delle tempistiche, l’indicazione temporale fornita è: “senza ingiustificato ritardo”. Dunque: nel più breve tempo possibile. I motivi sono di tutela sostanziale e ciò è ancor più chiaro con la lettura del considerando n. 86 GDPR, il quale prescrive che la comunicazione sia svolta “non appena ragionevolmente possibile e in stretta collaborazione con l’autorità di controllo”, al fine di consentire all’interessato “di prendere le precauzioni necessarie” avendo conoscenza dell’evento e delle eventuali “raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi”.
Può essere pertanto possibile – in analogia con la notifica preliminare al Garante – provvedere ad una comunicazione iniziale e successive integrazioni o precisazioni. Ciò che non è possibile né accettabile è invece il ritardo (o l’assenza) della valutazione di rischio.
