| Garante per la protezione dei dati personali [ [ Linee guida in materiadi attuazione della disciplina sulla comunicazione delle violazioni di datipersonali - Consultazione pubblica PROVVEDIMENTO DEL 26LUGLIO 2012 (Pubblicato sulla G.U. n. 183 del 7-8-2012) Registro dei provvedimenti n. 221 del 26luglio 2012 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del dott. Antonello Soro,presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssaGiovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e deldott. Giuseppe Busia, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lg. 30giugno 2003, n. 196, di seguito "Codice") e, in particolare, l'art.32-bis; VISTA la direttiva 2002/58/Ce del 12 luglio 2002, del Parlamentoeuropeo e del Consiglio, relativa al trattamento dei dati personali e allatutela della vita privata nel settore delle comunicazioni elettroniche(direttiva relativa alla vita privata e alle comunicazioni elettroniche); VISTA la direttiva 2009/136/Ce del 25 novembre 2009, del Parlamentoeuropeo e del Consiglio, recante modifica della direttiva 2002/22/Ce relativaal servizio universale e ai diritti degli utenti in materia di reti e diservizi di comunicazione elettronica, della direttiva 2002/58/Ce relativa altrattamento dei dati personali e alla tutela della vita privata nel settoredelle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazionetra le autorità nazionali responsabili dell'esecuzione della normativa a tuteladei consumatori; VISTA la direttiva 2009/140/Ce del 25 novembre 2009, del Parlamentoeuropeo e del Consiglio, recante modifica delle direttive 2002/21/Ce che istituisceun quadro normativo comune per le reti ed i servizi di comunicazioneelettronica, 2002/19/Ce relativa all'accesso alle reti di comunicazioneelettronica e alle risorse correlate, e all'interconnessione delle medesime e2002/20/Ce relativa alle autorizzazioni per le reti e i servizi dicomunicazione elettronica; VISTO il decreto legislativo 28 maggio 2012, n. 69 "Modificheal decreto legislativo 30 giugno 2003, n. 196, recante codice in materia diprotezione dei dati personali in attuazione delle direttive 2009/136/CE, inmateria di trattamento dei dati personali e tutela della vita privata nelsettore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti eservizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sullacooperazione tra le autorità nazionali responsabili dell'esecuzione dellanormativa a tutela dei consumatori" (pubblicato nella GazzettaUfficiale 31 maggio 2012 n. 126); VISTO il decreto legislativo 28 maggio 2012 n. 70 "Modificheal decreto legislativo 1° agosto 2003, n. 259, recante codice dellecomunicazioni elettroniche in attuazione delle direttive 2009/140/CE, inmateria di reti e servizi di comunicazione elettronica, e 2009/136/CE inmateria di trattamento dei dati personali e tutela della vita privata"(pubblicato nella Gazzetta Ufficiale 31 maggio 2012, n. 126); RITENUTO NECESSARIO fornire primi orientamenti e istruzioni in meritoai nuovi obblighi di comunicazione incombenti sui fornitori di servizi dicomunicazione elettronica accessibili al pubblico per i casi di violazione didati personali, come espressamente previsto dall'art. 32-bis, comma 6,del Codice; RILEVATA l'opportunità che la prescrizione di alcune misure, allostato individuate nell'unito documento, sia preceduta da una consultazionepubblica, diretta in particolare ai predetti fornitori, al fine di acquisireulteriori riscontri sull'adeguatezza delle medesime prescrizioni, nonché sullerelative modalità attuative, anche in ragione della eventuale casistica che siformerà medio tempore; VISTE le osservazioni dell'Ufficio, formulate dal segretario generaleai sensi dell'art. 15 del regolamento n. 1/2000; RELATORE il dr. Antonello Soro; DELIBERA ai sensi degli artt. 32-bis, comma 6 e 154, comma 1, lett. c),del Codice: a. di adottare l'unito documento, recante le "Linee guidain materia di attuazione della disciplina sulla comunicazione delle violazionidi dati personali", che forma parte integrante della presentedeliberazione (Allegato1). b. di avviare una consultazione pubblica in merito alle modalitàapplicative specificate nei punti Tali osservazioni e commenti potranno pervenire, La presente deliberazione verrà pubblicata sul sito web delGarante www.gpdp.it e sarà trasmessa al Ministero della giustiziaai fini della sua pubblicazione sulla Gazzetta Ufficiale dellaRepubblica italiana a cura dell'Ufficio pubblicazione leggi e decreti. Roma, 26 luglio 2012
Linee guida in materia di comunicazionedelle violazioni di dati personali. Sommario 1. Considerazioni preliminari; 3.1. Servizi erogati tramite altri soggetti; 4. Gestione dellasicurezza e delle violazioni; 4.1. Analisi dei rischi; 4.2. Adozione di adeguate misure di sicurezza; 5. Comunicazioneal Garante (tempi e contenuto); 6. Inventariodelle violazioni di dati personali; 7. Comunicazioneal contraente o ad altre persone; 7.1. Inintelligibilità dei dati; 7.2. Canale per la comunicazione al contraente o ad altrepersone; 7.3. Valutazione del rischio che richiede la comunicazione alcontraente o ad altre persone. 8. Conseguenzeper le ipotesi del mancato rispetto dei nuovi obblighi di sicurezza
1. Considerazioni preliminari. La direttiva 2002/58/Ce (c.d. direttiva e-Privacy) afferma chei fornitori di servizi di comunicazione elettronica devono adottare "appropriatemisure tecniche e organizzative" per assicurare "un livello disicurezza adeguato al rischio esistente" (art. 4, comma 1). Nelladirettiva 2009/136/Ce (che ha modificato la direttiva 2002/58/Ce) si è tenutoconto, in particolare, del fatto che un evento che coinvolga i dati personali,se non trattato in modo adeguato e tempestivo, può provocare un grave dannoeconomico e sociale al contraente (o alle altre persone interessate), tra cuil'usurpazione d'identità (cfr. considerando 61). Con il recepimento delle suindicate previsioni tramite il decretolegislativo 28 maggio 2012, n. 69, con il quale il Governo ha dato attuazionealla delega prevista nell'art. 9 della legge comunitaria del 2010 (legge 15dicembre 2011, n. 217, pubblicata in G.U. 2 gennaio 2012, n. 1), i fornitori diservizi di comunicazione elettronica sono oggi tenuti a comunicare senzaindebiti ritardi al Garante e, in alcuni casi, al contraente o ad altre personeinteressate, l'occorrenza dei predetti eventi, qualificati come "violazionidi dati personali". Le presenti linee guida sono volte a fornire –in lineacon quanto previsto dalla stessa direttiva 2009/136/Ce indicazioni inmerito alla nuova disciplina sopra richiamata, con particolare riguardo allecircostanze in cui i fornitori hanno l'obbligo di comunicare le violazioni didati personali, al formato applicabile alla comunicazione e alle relativemodalità di effettuazione (cfr. art. 32-bis, comma 6, delCodice). Come sopra accennato, ildecreto legislativo 28 maggio 2012, n. 69 ha apportato significative e numerosemodifiche al Codice, introducendo, per quanto di specifico interesse, la nuovadisciplina concernente la gestione delle suindicate violazioni di sicurezza nelsettore delle comunicazioni elettroniche. È stata così introdotta la definizione di "violazione di datipersonali", intesa come la "violazione della sicurezza checomporta anche accidentalmente la distruzione, la perdita, la modifica, larivelazione non autorizzata o l'accesso ai dati personali trasmessi,memorizzati o comunque elaborati nel contesto della fornitura di un servizio dicomunicazione accessibile al pubblico" (art. 4, comma 3, lett. g-bis),del Codice). Si tratta di una definizione da un lato molto ampia, in quantocomprende qualunque evento metta a rischio, anche in maniera del tuttoaccidentale, i dati trattati nell'ambito dei servizi di comunicazioneelettronica, e dall'altro volta a delimitare il contesto (quello, appunto, deiservizi di comunicazione elettronica accessibili al pubblico), nonché l'ambitosoggettivo (quello dei fornitori di tali servizi), nel quale opera la nuovadisciplina. In quest'ottica vanno lette anche le modifiche all'art. 32 del Codice,ora espressamente rubricato "Obblighi relativi ai fornitori di servizidi comunicazione elettronica accessibili al pubblico" e che impone alfornitore di adottare, anche attraverso altri soggetti cui sia affidatal'erogazione del servizio, "misure tecniche e organizzative adeguate alrischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gliadempimenti di cui all'articolo 32-bis". Il legislatore comunitario è peraltro consapevole del fatto chel'interesse degli utenti ad essere informati sulle violazioni di sicurezza checoinvolgono i loro dati personali non si limita al settore delle comunicazionielettroniche. Ed infatti, le proposte di riforma della legislazione comunitariain materia di protezione dei dati (cfr. schema di Regolamento presentatodalla Commissione europea il 25 gennaio 2012, attualmente all'esame delParlamento e del Consiglio) prevedono un'estensione generalizzata dell'obbligodi notifica delle violazioni dei dati personali a tutti i titolari pubblici eprivati (v. anche considerando 59, direttiva 2009/136/Ce). In alcuni Stati membri del resto sono già in vigore disposizioni cheprevedono una platea più ampia di soggetti che effettuano tale notifica (es. inIrlanda); in tal senso, peraltro, si è espresso anche il Gruppo dei Garantieuropei (c.d. "Gruppo Art. 29") nel documento n. 01/2011,adottato il 5 aprile 2011. Al riguardo, si segnala che il Garante, con il provvedimento del L'art. 32-bis citato introduce poi nel Codice la disciplinadegli "Adempimenti conseguenti ad una violazione di datipersonali" e sancisce l'obbligo, per i fornitori di servizi dicomunicazione elettronica accessibili al pubblico, di comunicare senza indebitiritardi al Garante la violazione di dati personali da essi detenuti. Nei casiin cui dalla violazione possa derivare pregiudizio ai dati personali o allariservatezza di un contraente o di altra persona, il fornitore dovrà comunicarel'avvenuta violazione anche a tali soggetti (art. 32-bis, comma 2). Tale seconda comunicazione ferma restando la difficoltà, sullaquale si tornerà in seguito, di delimitare i casi nei quali la violazione possaarrecare pregiudizio al contraente o ad altre persone interessate, potendo talerischio dirsi in astratto sempre sussistente non è dovuta se il fornitoreha dimostrato al Garante di aver utilizzato misure "che rendono i datiinintelligibili a chiunque non sia autorizzato ad accedervi e che tali misureerano state applicate al momento della violazione" (art. 32-bis,comma 3). Il Garante, considerate le presumibili ripercussioni negative dellaviolazione, può comunque obbligare il fornitore ad effettuare la predettacomunicazione, ove lo stesso non vi abbia già provveduto (comma 4). Come si è già accennato, la nuova disciplina concernente gli obblighidi comunicazione al Garante e alle persone interessate non riguarda la totalitàdei titolari dei trattamenti, ossia dei soggetti, pubblici o privati, chedetengono e trattano dati personali in funzione della propria attività. I nuovi adempimenti gravano, infatti, esclusivamente sui fornitori diservizi di comunicazione elettronica accessibili al pubblico e, quindi, su queisoggetti che mettono a disposizione del pubblico, su reti pubbliche dicomunicazione, servizi consistenti, esclusivamente o prevalentemente, "nellatrasmissione di segnali su reti di comunicazioni elettroniche" (art.4, comma 2, lett. d) ed e), del Codice). I medesimi adempimenti sono inoltre connessi alla particolare attivitàdi fornitura dei predetti servizi, quale ad esempio il servizio telefonico oquello di accesso a Internet. Ciò significa che se la violazione riguarda unabanca dati del fornitore che non attiene in maniera specifica al servizioofferto dallo stesso, ma ad una qualunque delle altre attività che svolge, adesempio alla gestione del personale o alla contabilità, l'obbligo dicomunicazione non vige. Al riguardo, anche al fine di individuare i soggetti interessati dallanuova disciplina, si rinvia alle indicazioni fornite dal Garante con ilprovvedimento relativo alla "Sicurezza dei dati di traffico telefonicoe telematico" (provv. del In tale provvedimento, infatti, è stato evidenziato che"fornitori di servizi di comunicazione elettronica accessibili alpubblico", sono quei soggetti che realizzano esclusivamente, oprevalentemente, una trasmissione di segnali su reti di comunicazionielettroniche, a prescindere dall'assetto proprietario della rete, e che offronoservizi a utenti finali secondo il principio di non discriminazione (cfr.anche direttiva 2002/21/Ce del Parlamento europeo e del Consiglio, cheistituisce un quadro normativo comune per le reti e i servizi di comunicazioneelettronica (c.d. direttiva quadro) e d.lg. n. 259/2003 recante ilCodice delle comunicazioni elettroniche). Al contrario non rientrano tra tali soggetti: - coloro che offrono direttamente servizi di comunicazioneelettronica a gruppi delimitati di persone (come, a titolo esemplificativo, isoggetti pubblici o privati che consentono soltanto a propri dipendenti ecollaboratori di effettuare comunicazioni telefoniche o telematiche). Taliservizi, pur rientrando nella definizione generale di "servizi dicomunicazione elettronica", non possono essere infatti consideraticome "accessibili al pubblico". - i titolari e i gestori di esercizi pubblici o di circoliprivati di qualsiasi specie che si limitino a porre a disposizione delpubblico, di clienti o soci apparecchi terminali utilizzabili per lecomunicazioni, anche telematiche, ovvero punti di accesso a Internetutilizzando tecnologia senza fili, esclusi i telefoni pubblici a pagamentoabilitati esclusivamente alla telefonia vocale; - i gestori dei siti Internet che diffondono contenuti sulla rete(c.d. "content provider"). Essi non sono, infatti, fornitoridi un "servizio di comunicazione elettronica" come definitodall'art. 4, comma 2, lett. e) del Codice. Tale norma, infatti, nel rinviare,per i casi di esclusione, all'art. 2, lett. c) della direttiva 2002/21/Ce cit.,esclude essa stessa i "servizi che forniscono contenuti trasmessiutilizzando reti e servizi di comunicazione elettronica [Š]"; - i gestori di motori di ricerca. 3.1. Servizi erogati tramite altri soggetti. La nuova normativa prende espressamente inconsiderazione l'ipotesi in cui il fornitore affidi l'erogazione del serviziodi comunicazione elettronica ad altri soggetti. In particolare, l'art. 32-bis,comma 8, prevede che, in questi casi, i soggetti esterni affidataridell'erogazione del servizio siano tenuti a comunicare "senza indebitoritardo al fornitore tutti gli eventi e le informazioni necessarie a consentirea quest'ultimo di effettuare gli adempimenti" in materia di violazionedei dati personali. Si tratta di una disposizione che riguarda la particolare situazioneche vede coinvolti i fornitori di comunicazione elettronica "tradizionali"e, ad esempio, i c.d. operatori virtuali di rete mobile (MobileVirtual Network Operator, MVNO), ossia le società che forniscono servizi ditelefonia mobile senza possedere alcuna licenza per il relativo spettro radio nétutte le infrastrutture necessarie per fornire tali servizi e che utilizzano atale scopo una parte dell'infrastruttura di uno o più operatori mobili reali(MNO). I MVNO sono dotati di archi di numerazione telefonica propri e quindidi proprie SIM card, possono gestire in proprio le funzioni di commutazione edi trasporto nonché la base dati di registrazione degli utenti mobili. Sono,quindi, completamente autonomi nella relazione con i clienti, i quali non hannoalcun rapporto diretto con l'operatore di rete mobile e stipulano un unicocontratto, appunto, con il MVNO. Da ciò emerge, pertanto, come gli obblighi di comunicazione derivantida eventuali violazioni di dati personali dei clienti (o di altre personeinteressate) incombano sul MVNO, l'unico a conoscere, nella maggior parte deicasi, l'identità dei clienti stessi. E tuttavia, in ragione del fatto che, comedetto, il servizio viene materialmente erogato dal MNO, è necessario che talesoggetto renda noti tutti gli eventi e le informazioni concernenti l'avvenutaviolazione all'operatore virtuale, in modo tale che questo possa adempiere aipropri obblighi nei confronti del Garante e, eventualmente, dei clienti. Al riguardo, si rinvia alle definizioni contenute nella Deliberadell'Autorità per le garanzie nelle comunicazioni n. 544/00/CONS, "Condizioniregolamentari relative all'ingresso di nuovi operatori nel mercato dei sistemiradiomobili" (pubblicata in G.U. n. 183 del 7 agosto 2000). Un altro caso rientrante nella previsione di cui al comma 8 è quellonel quale il fornitore del servizio di comunicazione elettronica, pur potendosidefinire "tradizionale", affidi in tutto o in parte la materialeerogazione del servizio stesso a soggetti terzi, che abbiano le infrastrutturea ciò necessarie, ad esempio per ragioni di ottimizzazione dei costi. Ferma restando la necessità che in tali ipotesi i soggetti coinvolticonfigurino correttamente i rispettivi ruoli in termini di titolare eresponsabile del trattamento, l'eventuale violazione dei dati personalitrattati nell'ambito dei sistemi affidati dal fornitore al soggetto terzo, dovràessere da questo necessariamente comunicata al fornitore stesso entro 24 oredall'avvenuta conoscenza della violazione, il quale potrà poi comunicare a suavolta la violazione al Garante e, se occorre, al contraente o ad altra personainteressata, come riportato al punto 5. 4. Gestione della sicurezza edelle violazioni. L'art. 32 del Codice (come modificato dal d.lg. n. 69/2012 inattuazione di quanto previsto dall'art. 4 della direttiva 2002/58/Ce) prevede chei soggetti che operano sulle reti di comunicazione elettronica debbanogarantire "che i dati personali siano accessibili soltanto al personaleautorizzato per fini legalmente autorizzati" (cfr. comma 1-bis)e che le misure tecniche e organizzative, che il fornitore di comunicazioneelettronica deve adottare, siano adeguate al rischio esistente, garantiscano laprotezione dei dati archiviati o trasmessi da una serie di eventi espressamenteindicati (distruzione, perdita, alterazione, anche accidentali, archiviazione,trattamento, accesso o divulgazione non autorizzati o illeciti) e assicurinol'attuazione di una "politica di sicurezza" (cfr. comma1-ter). Il nuovo art. 32, comma 3, infine, impone al fornitore di informare icontraenti, il Garante, l'Agcom e, ove possibile, gli utenti, dell'esistenza di"un particolare rischio di violazione della sicurezza della rete",indicando, quando il rischio è al di fuori dell'ambito di applicazione dellesuindicate misure, tutti i possibili rimedi e i relativi costi presumibili. Tali previsioni indicano chiaramente come i fornitori siano tenuti adorganizzarsi al proprio interno al fine di garantire un elevato livello disicurezza dei dati detenuti e gestire in maniera strutturata e tramiteprocedure e interventi definiti a priori, le eventuali violazioni di datipersonali che dovessero accadere. Come dichiarato anche dall'ENISA nelle sue recenti Raccomandazioni (disponibili all'indirizzo Quanto all'individuazione delle misure minime di sicurezzapropriamente dette ossia quelle alle quali la legge riconduce sanzioni dicarattere anche penale ex art. 169 del Codice si richiama l'art. 33 delCodice e le specifiche previsioni contenute nel Disciplinare tecnico in materiadi misure minime di sicurezza, di cui all'Allegato B (in particolare quellerelative ai trattamenti svolti con strumenti elettronici), la cui adozione èperaltro obbligatoria per qualunque titolare del trattamento. 4.1. Analisi dei rischi. Al fine di ottemperare agli obblighi di cui all'art. 32 del Codice, ènecessario che i fornitori effettuino una preliminare ricognizione dell'insiemedei dati personali trattati e dei rischi ai quali gli stessi vanno incontro. È necessario, quindi, che ciascun fornitore identifichi e attribuiscaun valore ai differenti dati personali che detiene e ai pericoli cui gli stessisono esposti, individuando la propria soglia di accettazione dei rischi efissando le opportune strategie di gestione. Il fornitore è anche tenuto aindividuare delle soglie di rischio, ad esempio in base a livello basso, medioe alto, in ragione delle quali decidere non solo quali misure adottare pergarantire un'idonea protezione dei dati detenuti, ma anche se effettuare lacomunicazione al contraente o alle altre persone interessate. Tale preliminare ricognizione consentirà ai fornitori di predisporremisure di sicurezza volte sia a prevenire i possibili eventi dannosi, sia aintervenire nel momento in cui gli stessi dovessero comunque –nonostantele misure adottate verificarsi. Si tratta di valutazioni sostanzialmente analoghe a quelle che ifornitori, sino al 10 febbraio scorso, erano tenuti ad effettuare ai fini dellaredazione del Documento programmatico sulla sicurezza, misura minima previstadalla regola 19 del richiamato Disciplinare tecnico, abrogata dall'art. 45,comma 1, lett. d), del decreto legge 9 febbraio 2012, n. 5 (convertito, conmodificazioni, dalla legge 4 aprile 2012, n. 35). 4.2. Adozione di adeguate misure di sicurezza (in consultazione). L'analisi dei rischi sopra indicata è alla base della predisposizione,da parte dei fornitori, delle misure di sicurezza "adeguate al rischioesistente", richiamate dal nuovo art. 32, comma 1, del Codice, nonchédell'individuazione di quelle maggiormente in grado di porre rimedio allaviolazione eventualmente verificatasi, le quali peraltro debbono esseredescritte al Garante nella comunicazione, come previsto dall'art. 32-bis,comma 5, del Codice. Si adottano in particolare, le seguenti misure in grado di garantireun livello minimo comune di sicurezza: 1. rendere i dati trattati immediatamente non disponibili perulteriori elaborazioni da parte di sistemi informativi al termine delle attivitàsvolte e nelle quali gli stessi sono coinvolti, provvedendo alla lorocancellazione o trasformazione in forma anonima in tempi tecnicamentecompatibili con l'esercizio delle relative procedure informatiche, nei data basee nei sistemi di elaborazione utilizzati per i trattamenti, nonché nei sistemie nei supporti per la realizzazione di copie di sicurezza (backup e disasterrecovery), anche con il ricorso a tecnologie crittografiche o dianonimizzazione; 2. adottare soluzioni informatiche idonee ad assicurare lapossibilità di controllo delle attività svolte sui dati da ciascun incaricatodel trattamento, quali che siano la sua qualifica, le sue competenze, gliambiti di operatività e le finalità del trattamento. Il controllo deve essereefficace e dettagliato anche per i trattamenti condotti sui singoli elementi diinformazione presenti sui diversi database utilizzati; 3. porre particolare attenzione ai dispositivi portatili,predisponendo specifiche misure di sicurezza in grado di mitigare il rischioconnesso alla portabilità dell'apparato, e di assicurare agli stessi un livellodi sicurezza analogo a quello applicato agli altri dispositivi informatici, inconsiderazione del fatto che molto spesso le violazioni della sicurezzariguardano i dispositivi mobili utilizzati da dipendenti e collaboratori deifornitori al di fuori degli uffici delle aziende. 5. Comunicazione al Garante:tempi e contenuto. La predisposizione da parte dei fornitori di un idoneo piano digestione delle violazioni sulla base di un'accurata analisi dei rischi ènecessaria per poter adempiere correttamente anche all'obbligo di comunicazioneal Garante previsto dall'art. 32-bis. Tale disposizione stabilisceinfatti che il fornitore debba comunicare la violazione dei dati personali alGarante "senza indebiti ritardi", ossia nel momento in cui lostesso ne viene a conoscenza. Stante l'importanza della tempestività della comunicazione al Garante,ma considerando anche la complessità e il numero dei sistemi in uso presso ifornitori, nonché dei dati che detengono, si ritiene che tali soggetti nellesituazioni più articolate possano, in un primo momento, limitarsi a fornireall'Autorità sommarie informazioni in relazione alla violazione verificatasi,purché ciò avvenga immediatamente dopo l'avvenuta conoscenza della stessa,integrando poi la comunicazione in un momento successivo. Tali sommarie informazioni devono in ogni caso consentire all'Autoritàdi effettuare una prima valutazione dell'entità della violazione e devono,quindi, comprendere: € i dati identificativi del fornitore; € una breve descrizione della violazione; € l'indicazione della data anche presunta della violazione e delmomento della sua scoperta; € l'indicazione del luogo in cui è avvenuta la violazione deidati, anche nel caso in cui essa sia avvenuta a seguito di smarrimento didispositivi o di supporti portatili; € l'indicazione della natura e del contenuto dei dati anche solopresumibilmente coinvolti; € una sintetica descrizione dei sistemi di elaborazione o dimemorizzazione dei dati coinvolti, con indicazione della loro ubicazione. Si ritengono congrui, quali termini entro i quali provvedere allacomunicazione, quello di 24 ore dall'avvenuta conoscenza della violazione perla prima sommaria comunicazione, e quello di 3 giorni dalla stessa per lacomunicazione dettagliata. Per agevolare l'adempimento, è stato predisposto un Quanto al contenuto della comunicazione, l'art. 32-bis, comma 5,del Codice prevede che essa, oltre alla descrizione della natura dellaviolazione, all'indicazione dei punti di contatto presso cui ottenere maggioriinformazioni e all'elenco delle misure raccomandate per attenuare i possibilieffetti pregiudizievoli della violazione (elementi da inserire anchenell'eventuale comunicazione ai soggetti interessati), descriva le conseguenzedella violazione e le misure proposte o adottate dal fornitore per porvirimedio. Qualora, all'esito delle verifiche effettuate dal fornitoresuccessivamente alla prima sommaria comunicazione, non dovessero emergereulteriori elementi, il fornitore dovrà comunicare al Garante le modalitàcon le quali ha posto rimedio alla violazione e le misure adottate perprevenire ulteriori violazioni della medesima specie. In sostanza, è necessario che dalla comunicazione emergano glielementi dai quali l'Autorità possa valutare compiutamente la gravitàdell'evento verificatosi, anche in ragione del numero dei soggetti coinvolti edella quantità e qualità dei dati colpiti, l'entità del danno cagionato e lemisure adottate per ridurlo. Ciò, al fine di intervenire con le prescrizioniche si rendessero necessarie, compresa quella di comunicare l'avvenutaviolazione ai contraenti o alle altre persone interessate. Parimenti importante, al fine di consentire all'Autorità di svolgereeventuali accertamenti, risulta l'indicazione, nella comunicazione, dei sistemiapplicativi colpiti dalla violazione, nonché l'ubicazione fisica dei sistemi dielaborazione impiegati nel trattamento. L'obbligo di comunicare l'avvenuta violazione al Garante edeventualmente al contraente (o ad altra persona interessata) sussiste,ovviamente, anche qualora l'evento abbia interessato dispositivi mobili eindipendentemente dal fatto che sugli stessi siano installati sistemi diprotezione dei dati. Anche per tali dispositivi (come si vedrà nel prosieguo)l'unica ipotesi in cui il fornitore può esimersi dalla comunicazione alcontraente (o ad altra persona interessata) è quella in cui i dati in essicontenuti o tramite gli stessi accessibili siano stati resi inintelligibili. 6. Inventario delle violazionidi dati personali. Al medesimo scopo, quello cioè di consentire al Garante di svolgere ilproprio compito di controllo sul rispetto, da parte dei fornitori, delledisposizioni in materia di violazione dei dati personali, è finalizzata laprevisione relativa alla tenuta di un inventario aggiornato delle violazioni,di cui all'art. 32-bis, comma 7, del Codice (cfr. ancheconsiderando 58, direttiva 136/2009/Ce). In tale inventario, i fornitori devono inserire tutte (e soltanto) leinformazioni necessarie a chiarire le circostanze nelle quali si sonoverificate le violazioni, le conseguenze che le stesse hanno avuto e iprovvedimenti adottati per porvi rimedio. L'inventario dovrà essere continuamente aggiornato dai fornitori emesso a disposizione del Garante, qualora l'Autorità chieda di accedervi.Dovranno, inoltre, essere adottate dal fornitore idonee misure atte a garantirel'integrità e l'immodificabilità delle registrazioni in esso contenute. 7. Comunicazione al contraente oad altre persone. Qualora si verifichi una violazione di dati personali e dalla stessapossa derivare un pregiudizio ai dati personali o alla riservatezza di uncontraente o di altre persone, ossia dei soggetti ai quali si riferiscono idati violati, oltre alla comunicazione al Garante, i fornitori sono tenuti acomunicare l'avvenuta violazione, senza ritardo, anche a tali soggetti (art.32-bis, comma 2, del Codice). In questo caso, si ritiene che il fornitore debba procedere allasuindicata comunicazione non oltre il termine di 3 giorni dall'avvenutaconoscenza della violazione. Il fornitore potrà poi scegliere il canale dicomunicazione che riterrà più idoneo, tenendo conto di quanto indicato nelsuccessivo punto 7.2. La predetta comunicazione non è dovuta se il fornitore è in grado didimostrare al Garante di aver applicato ai dati oggetto della violazione misuretecnologiche di protezione che li hanno resi inintelligibili a chiunque non siaautorizzato ad accedervi (cfr. art. 32-bis, comma 3, del Codice), adesempio, tramite tecniche di cifratura. In ogni caso, in ragione dell'entità del possibile pregiudizio per gliinteressati, devono essere sempre comunicate immediatamente ai contraenti leviolazioni che riguardano le credenziali di autenticazione (nome utente epassword, ancorché quest'ultima sia cifrata o sottoposta a funzioni di hashing)o le chiavi di cifratura utilizzate dai contraenti medesimi. 7.1. Inintelligibilità dei dati (in consultazione). A giudizio dell'Autorità, si considerano inintelligibili i dati che,ad esempio: a. siano stati cifrati in modo sicuro attraverso un algoritmostandardizzato, purché la chiave di decifrazione non sia stata compromessa daviolazioni della sicurezza e sia stata generata in modo da non consentirne laderivazione con gli strumenti tecnologici disponibili da parte disoggetti non autorizzati ad accedervi; oppure b. siano stati sostituiti da un valore di hash calcolato attraversouna funzione crittografica di hashing a chiave, purché la chiaveutilizzata per effettuare lo hashing dei dati non sia stata compromessada violazioni della sicurezza e sia stata generata in modo da non consentirnela derivazione con gli strumenti tecnologici disponibili da parte di soggettinon autorizzati ad accedervi; oppure c. siano stati resi anonimi con procedure tali da renderepraticamente impossibile la reidentificazione degli interessati cui siriferiscono da parte di soggetti non legittimati al loro trattamento. Inragione del fatto che, astrattamente, il rischio che una violazione di datipersonali arrechi pregiudizio ai dati stessi o alla riservatezza dei soggettiai quali essi si riferiscono è sempre sussistente, non è certamente semplicedefinire a priori in quali casi il fornitore possa esimersi dall'effettuare lacomunicazione della violazione al contraente o alle altre persone interessate. L'art. 32-bis, comma 4, del Codice prevede comunque che, ove ilfornitore non vi abbia provveduto, il Garante, considerate le presumibiliripercussioni negative della violazione, può obbligare lo stesso ad effettuarela comunicazione al contraente o ad altra persona interessata. È evidente chetale possibilità prescinde dal fatto che il fornitore abbia resoinintelligibili i dati violati: tale evenienza riduce, non fa venir meno, ilrischio che i dati violati siano comunque decifrabili e che, pertanto, ilGarante imponga di effettuare comunque la comunicazione. Da quanto detto, risulta di tutta evidenza la necessità che ilfornitore dia conto, nella comunicazione al Garante, della politica disicurezza attuata e che descriva anche le conseguenze della violazioneverificatasi e le misure proposte o adottate per porvi rimedio, in tal modoconsentendo all'Autorità di fare le proprie valutazioni e dare eventualiprescrizioni. 7.2. Canale per la comunicazione al contraente o ad altre persone(in consultazione). Ciascun fornitore dovrà valutare quale sia il canale di comunicazioneche consente di raggiungere più facilmente e tempestivamente i soggetti i cuidati sono interessati dalla violazione. E ciò, sia con riguardo ai contraenti,sia, soprattutto, con riferimento a quelle persone che non sono clienti delfornitore, ma che pure sono state coinvolte dalla violazione. In determinate circostanze, soprattutto con riferimento ai soggetti daultimo indicati, ma anche in relazione ai clienti del fornitore, nei casi incui sia coinvolto un numero molto elevato di contraenti, si ritiene che ilmedesimo fornitore possa più facilmente raggiungere lo scopo previsto dallanormativa informare senza ritardo i soggetti i cui dati sono coinvoltidalla violazione tramite forme di comunicazione diverse da quella adpersonam. Si ritiene, cioè, che in alcuni casi siano più utili forme dicomunicazione di carattere pubblico, quali la diffusione di avvisi suquotidiani, anche online, oppure per mezzo di emittenti radiofoniche, anchelocali. Tali forme alternative di comunicazione ai contraenti o alle altrepersone coinvolte dalla violazione vanno ovviamente realizzate anch'esse entroil più breve lasso di tempo e, comunque, entro il termine di 3 giorni indicatoai punti 5 e 7. Come si è detto, è necessario che il fornitore effettui dellevalutazioni per decidere quali misure adottare per ridurre il rischio,attenuare il danno qualora si verifichi la violazione e decidere se comunicareal contraente e/o alle altre persone, consentendo loro, così, di adottare leprecauzioni necessarie. Tali valutazioni dovrebbero essere svolte sulla base di criterideterminati e comuni a tutti i fornitori, in modo tale da porre in campo scelteponderate e confrontabili. Potrebbero soccorrere, ai fini della suindicatavalutazione, innanzitutto elementi quali la quantità e la qualità dei daticoinvolti nella violazione. A titolo meramente esemplificativo, una violazione che riguardi unsolo dato personale o, anche, più dati personali, non sensibili, di un solocontraente ferma restando la necessità che il fornitore adotti tutte lemisure in grado di ridurre il danno potrebbe non dover esserenecessariamente comunicata allo stesso ai sensi dell'art. 32-bis, comma 2. Parimenti importante e, dunque, da considerare nella valutazione delrischio, è la "attualità" dei dati detenuti, ossia il tempo trascorsodall'acquisizione dei dati stessi e dal loro inserimento nei database delfornitore. Dati più recenti potrebbero infatti destare maggiore interesse pereventuali malintenzionati in quanto è più alta la probabilità che essiesprimano in modo attendibile uno "stato" o una specifica condizione(economica, di salute, abitativa ecc.) in cui si trova l'interessato al momentodell'avvenuta violazione. Potrebbe essere utile poi, per decidere se comunicare o meno laviolazione agli interessati, considerare gli effetti della violazione stessa eritenere sussistente il pregiudizio per i dati o la vita privata del contraenteo di altra persona quando la violazione "implica, ad esempio, il furtoo l'usurpazione d'identità, il danno fisico, l'umiliazione grave o il dannoalla reputazione in relazione con la fornitura di servizi di comunicazione"(cfr. considerando 61, direttiva 2009/136/Ce). Per giungere a valori uniformi e comparabili, i fornitori dovrebberoaffrontare la valutazione del rischio anche con un approccio di tipoquantitativo, individuando in ragione dei succitati attributi dei daticoinvolti nella violazione (qualità, quantità, attualità, ecc.), specifichemetriche in grado di rappresentare gli effetti pregiudizievoli che la stessapotrebbe provocare sull'interessato. 8. Conseguenze per le ipotesidel mancato rispetto dei nuovi obblighi di sicurezza. Per le ipotesi di violazione dei nuovi obblighi di sicurezza, il d.lg.n. 69/2012 ha introdotto nel Codice nuove e specifiche sanzioni amministrative(cfr. art. 162-ter) ed ha esteso quella penale prevista dall'art.168 all'ipotesi di falsità nelle notificazioni al Garante ai sensi dell'art.32-bis, commi 1 e 8. L'art. 162-ter stabilisce che la omessa o ritardatacomunicazione della violazione di dati personali al Garante ex art. 32-bis,comma 1, è punita con la sanzione amministrativa del pagamento di una somma daventicinquemila euro a centocinquantamila euro; la omessa o ritardatacomunicazione della violazione di dati personali al contraente o ad altra personaex 32-bis, comma 2, è punita con la sanzione amministrativa delpagamento di una somma da centocinquanta euro a mille euro per ciascuncontraente o altra persona interessata. In tale ipotesi, poi, il fornitore non può beneficiare del cumulogiuridico di cui all'art. 8 della legge n. 689/1981 e, tuttavia, la sanzionenon può essere applicata in misura superiore al 5 per cento del volume d'affarirealizzato dallo stesso nell'ultimo esercizio chiuso anteriormente allanotificazione della contestazione della violazione amministrativa, fermarestando la possibilità di aumento fino al quadruplo se le sanzioni risultinoinefficaci in ragione delle condizioni economiche del contravventore, ai sensidell'art. 164-bis, comma 4 (cfr. art. 162-ter, commi 2 e3). Ai sensi dell'art. 162-ter, comma 4, la violazione delladisposizione concernente la tenuta di un aggiornato inventario delle violazionidi dati personali, è punita con la sanzione amministrativa del pagamento di unasomma da ventimila euro a centoventimila euro. Le medesime sanzioni previste per i fornitori si applicano anche neiconfronti dei soggetti ai quali sia stata affidata l'erogazione dei servizi,qualora tali soggetti abbiano omesso di comunicare senza ritardo al fornitoretutte le informazioni necessarie allo stesso per adempiere ai propri obblighi(art. 162-ter, comma 5). L'art. 168 punisce, infine, salvo che il fatto costituisca più gravereato, con la reclusione da sei mesi a tre anni il fornitore che dichiari oattesti falsamente notizie o circostanze, o produca atti o documenti falsi inoccasione della comunicazione al Garante conseguente alla violazione di datipersonali, nonché i soggetti, cui sia affidata l'erogazione del servizio, cheeffettuino false comunicazioni al fornitore.
(*) Il modello va aperto, compilato e, dopoaver apposto la firma digitale, salvato come un file .pdf sul propriocomputer. Infine, il modello va inviato al Garante unicamente tramite postaPEC all'indirizzo: |