GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - DELIBERAZIONE 26 luglio 2012 | Edilone.it

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – DELIBERAZIONE 26 luglio 2012

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - DELIBERAZIONE 26 luglio 2012 - Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali. (Deliberazione n. 221). (12A08723) - (GU n. 183 del 7-8-2012 )

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERAZIONE 26 luglio 2012

Linee guida in materia di attuazione della disciplina sulla
comunicazione delle violazioni di dati personali. (Deliberazione n.
221). (12A08723)

IL GARANTE
per la protezione dei dati personali

Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vice presidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti e del dott. Giuseppe Busia, segretario generale;
Visto il Codice in materia di protezione dei dati personali
(decreto legistativo 30 giugno 2003, n. 196, di seguito «Codice») e,
in particolare, l’art. 32-bis;
Vista la direttiva 2002/58/Ce del 12 luglio 2002, del Parlamento
europeo e del Consiglio, relativa al trattamento dei dati personali e
alla tutela della vita privata nel settore delle comunicazioni
elettroniche (direttiva relativa alla vita privata e alle
comunicazioni elettroniche);
Vista la direttiva 2009/136/Ce del 25 novembre 2009, del Parlamento
europeo e del Consiglio, recante modifica della direttiva 2002/22/Ce
relativa al servizio universale e ai diritti degli utenti in materia
di reti e di servizi di comunicazione elettronica, della direttiva
2002/58/Ce relativa al trattamento dei dati personali e alla tutela
della vita privata nel settore delle comunicazioni elettroniche e del
regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita’
nazionali responsabili dell’esecuzione della normativa a tutela dei
consumatori;
Vista la direttiva 2009/140/Ce del 25 novembre 2009, del Parlamento
europeo e del Consiglio, recante modifica delle direttive 2002/21/Ce
che istituisce un quadro normativo comune per le reti ed i servizi di
comunicazione elettronica, 2002/19/Ce relativa all’accesso alle reti
di comunicazione elettronica e alle risorse correlate, e
all’interconnessione delle medesime e 2002/20/Ce relativa alle
autorizzazioni per le reti e i servizi di comunicazione elettronica;
Visto il decreto legislativo 28 maggio 2012, n. 69 «Modifiche al
decreto legislativo 30 giugno 2003, n. 196, recante codice in materia
di protezione dei dati personali in attuazione delle direttive
2009/136/CE, in materia di trattamento dei dati personali e tutela
della vita privata nel settore delle comunicazioni elettroniche, e
2009/140/CE in materia di reti e servizi di comunicazione elettronica
e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le
autorita’ nazionali responsabili dell’esecuzione della normativa a
tutela dei consumatori» (pubblicato nella Gazzetta Ufficiale 31
maggio 2012 n. 126);
Visto il decreto legislativo 28 maggio 2012 n. 70 «Modifiche al
decreto legislativo 1° agosto 2003, n. 259, recante codice delle
comunicazioni elettroniche in attuazione delle direttive 2009/140/CE,
in materia di reti e servizi di comunicazione elettronica, e
2009/136/CE in materia di trattamento dei dati personali e tutela
della vita privata» (pubblicato nella Gazzetta Ufficiale 31 maggio
2012, n. 126);
Ritenuto necessario fornire primi orientamenti e istruzioni in
merito ai nuovi obblighi di comunicazione incombenti sui fornitori di
servizi di comunicazione elettronica accessibili al pubblico per i
casi di violazione di dati personali, come espressamente previsto
dall’art. 32-bis, comma 6, del Codice;
Rilevata l’opportunita’ che la prescrizione di alcune misure, allo
stato individuate nell’unito documento, sia preceduta da una
consultazione pubblica, diretta in particolare ai predetti fornitori,
al fine di acquisire ulteriori riscontri sull’adeguatezza delle
medesime prescrizioni, nonche’ sulle relative modalita’ attuative,
anche in ragione della eventuale casistica che si formera’ medio
tempore;
Viste le osservazioni dell’Ufficio, formulate dal segretario
generale ai sensi dell’art. 15 del regolamento n. 1/2000;
Relatore il dr. Antonello Soro;

Delibera:

ai sensi degli artt. 32-bis, comma 6 e 154, comma 1, lett. c), del
Codice:
a) di adottare l’unito documento, recante le «Linee guida in
materia di attuazione della disciplina sulla comunicazione delle
violazioni di dati personali», che forma parte integrante della
presente deliberazione (Allegato 1).
b) di avviare una consultazione pubblica in merito alle
modalita’ applicative specificate nei punti 4.2, 7.1, 7.2 e 7.3 del
documento di cui alla lettera a), riservandosi di intervenire sulle
stesse anche alla luce delle risultanze delle osservazioni pervenute.
Tali osservazioni e commenti potranno pervenire, entro il termine
di 90 giorni dalla pubblicazione della presente deliberazione,
all’indirizzo dell’Autorita’ di Piazza di Monte Citorio n. 121, 00186
Roma, ovvero al seguente indirizzo di posta elettronica:
consultazionedatabreach.gpdp.it
La presente deliberazione verra’ pubblicata sul sito web del
Garante www.gpdp.it e sara’ trasmessa al Ministero della giustizia ai
fini della sua pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana a cura dell’Ufficio pubblicazione leggi e
decreti.
Roma, 26 luglio 2012

Il presidente e relatore
Soro

Il segretario generale
Busia

Allegato 1

Linee guida in materia di comunicazione delle violazioni di dati
personali.

Sommario

1. Considerazioni preliminari;
2. Quadro normativo;
3. Ambito soggettivo;
3.1. Servizi erogati tramite altri soggetti;
4. Gestione della sicurezza e delle violazioni;
4.1. Analisi dei rischi;
4.2. Adozione di adeguate misure di sicurezza;
5. Comunicazione al Garante (tempi e contenuto);
6. Inventario delle violazioni di dati personali;
7. Comunicazione al contraente o ad altre persone;
7.1. Inintelligibilita’ dei dati;
7.2. Canale per la comunicazione al contraente o ad altre persone;
7.3. Valutazione del rischio che richiede la comunicazione al
contraente o ad altre persone.
8. Conseguenze per le ipotesi del mancato rispetto dei nuovi obblighi
di sicurezza.

1. Considerazioni preliminari.

La direttiva 2002/58/Ce (c.d. direttiva e-Privacy) afferma che i
fornitori di servizi di comunicazione elettronica devono adottare
“appropriate misure tecniche e organizzative” per assicurare “un
livello di sicurezza adeguato al rischio esistente” (art. 4, comma
1). Nella direttiva 2009/136/Ce (che ha modificato la direttiva
2002/58/Ce) si e’ tenuto conto, in particolare, del fatto che un
evento che coinvolga i dati personali, se non trattato in modo
adeguato e tempestivo, puo’ provocare un grave danno economico e
sociale al contraente (o alle altre persone interessate), tra cui
l’usurpazione d’identita’ (cfr. considerando 61).
Con il recepimento delle suindicate previsioni tramite il decreto
legislativo 28 maggio 2012, n. 69, con il quale il Governo ha dato
attuazione alla delega prevista nell’art. 9 della legge comunitaria
del 2010 (legge 15 dicembre 2011, n. 217, pubblicata in G.U. 2
gennaio 2012, n. 1), i fornitori di servizi di comunicazione
elettronica sono oggi tenuti a comunicare senza indebiti ritardi al
Garante e, in alcuni casi, al contraente o ad altre persone
interessate, l’occorrenza dei predetti eventi, qualificati come
“violazioni di dati personali”.
Le presenti linee guida sono volte a fornire -in linea con quanto
previsto dalla stessa direttiva 2009/136/Ce- indicazioni in merito
alla nuova disciplina sopra richiamata, con particolare riguardo alle
circostanze in cui i fornitori hanno l’obbligo di comunicare le
violazioni di dati personali, al formato applicabile alla
comunicazione e alle relative modalita’ di effettuazione (cfr. art.
32-bis, comma 6, del Codice).

2. Quadro normativo.

Come sopra accennato, il decreto legislativo 28 maggio 2012, n. 69
ha apportato significative e numerose modifiche al Codice,
introducendo, per quanto di specifico interesse, la nuova disciplina
concernente la gestione delle suindicate violazioni di sicurezza nel
settore delle comunicazioni elettroniche.
E’ stata cosi’ introdotta la definizione di “violazione di dati
personali”, intesa come la “violazione della sicurezza che comporta
anche accidentalmente la distruzione, la perdita, la modifica, la
rivelazione non autorizzata o l’accesso ai dati personali trasmessi,
memorizzati o comunque elaborati nel contesto della fornitura di un
servizio di comunicazione accessibile al pubblico” (art. 4, comma 3,
lett. g-bis), del Codice).
Si tratta di una definizione da un lato molto ampia, in quanto
comprende qualunque evento metta a rischio, anche in maniera del
tutto accidentale, i dati trattati nell’ambito dei servizi di
comunicazione elettronica, e dall’altro volta a delimitare il
contesto (quello, appunto, dei servizi di comunicazione elettronica
accessibili al pubblico), nonche’ l’ambito soggettivo (quello dei
fornitori di tali servizi), nel quale opera la nuova disciplina.
In quest’ottica vanno lette anche le modifiche all’art. 32 del
Codice, ora espressamente rubricato “Obblighi relativi ai fornitori
di servizi di comunicazione elettronica accessibili al pubblico” e
che impone al fornitore di adottare, anche attraverso altri soggetti
cui sia affidata l’erogazione del servizio, “misure tecniche e
organizzative adeguate al rischio esistente, per salvaguardare la
sicurezza dei suoi servizi e per gli adempimenti di cui all’articolo
32-bis”.
Il legislatore comunitario e’ peraltro consapevole del fatto che
l’interesse degli utenti ad essere informati sulle violazioni di
sicurezza che coinvolgono i loro dati personali non si limita al
settore delle comunicazioni elettroniche. Ed infatti, le proposte di
riforma della legislazione comunitaria in materia di protezione dei
dati (cfr. schema di Regolamento presentato dalla Commissione europea
il 25 gennaio 2012, attualmente all’esame del Parlamento e del
Consiglio) prevedono un’estensione generalizzata dell’obbligo di
notifica delle violazioni dei dati personali a tutti i titolari
pubblici e privati (v. anche considerando 59, direttiva 2009/136/Ce).
In alcuni Stati membri del resto sono gia’ in vigore disposizioni
che prevedono una platea piu’ ampia di soggetti che effettuano tale
notifica (es. in Irlanda); in tal senso, peraltro, si e’ espresso
anche il Gruppo dei Garanti europei (c.d. “Gruppo Art. 29”) nel
documento n. 01/2011, adottato il 5 aprile 2011.
Al riguardo, si segnala che il Garante, con il provvedimento del
12 maggio 2011 (pubblicato in G.U. n. 127 del 3 giugno 2011 e
disponibile sul sito dell’Autorita’, doc. web n. 1813953), ha
prescritto alle banche, quale misura opportuna, di comunicare
tempestivamente all’Autorita’ ifornendo idonei dettaglii’ i casi in
cui risultino accertate violazioni, accidentali o illecite, nella
protezione dei dati personali, purche’ di particolare rilevanza per
la qualita’ o la quantita’ di dati coinvolti e/o il numero di clienti
interessati, dalle quali derivino la distruzione, la perdita, la
modifica, la rivelazione non autorizzata dei dati della clientela.
L’art. 32-bis citato introduce poi nel Codice la disciplina degli
“Adempimenti conseguenti ad una violazione di dati personali” e
sancisce l’obbligo, per i fornitori di servizi di comunicazione
elettronica accessibili al pubblico, di comunicare senza indebiti
ritardi al Garante la violazione di dati personali da essi detenuti.
Nei casi in cui dalla violazione possa derivare pregiudizio ai dati
personali o alla riservatezza di un contraente o di altra persona, il
fornitore dovra’ comunicare l’avvenuta violazione anche a tali
soggetti (art. 32-bis, comma 2).
Tale seconda comunicazione -ferma restando la difficolta’, sulla
quale si tornera’ in seguito, di delimitare i casi nei quali la
violazione possa arrecare pregiudizio al contraente o ad altre
persone interessate, potendo tale rischio dirsi in astratto sempre
sussistente- non e’ dovuta se il fornitore ha dimostrato al Garante
di aver utilizzato misure “che rendono i dati inintelligibili a
chiunque non sia autorizzato ad accedervi e che tali misure erano
state applicate al momento della violazione” (art. 32-bis, comma 3).
Il Garante, considerate le presumibili ripercussioni negative della
violazione, puo’ comunque obbligare il fornitore ad effettuare la
predetta comunicazione, ove lo stesso non vi abbia gia’ provveduto
(comma 4).

3. Ambito soggettivo.

Come si e’ gia’ accennato, la nuova disciplina concernente gli
obblighi di comunicazione al Garante e alle persone interessate non
riguarda la totalita’ dei titolari dei trattamenti, ossia dei
soggetti, pubblici o privati, che detengono e trattano dati personali
in funzione della propria attivita’.
I nuovi adempimenti gravano, infatti, esclusivamente sui fornitori
di servizi di comunicazione elettronica accessibili al pubblico e,
quindi, su quei soggetti che mettono a disposizione del pubblico, su
reti pubbliche di comunicazione, servizi consistenti, esclusivamente
o prevalentemente, “nella trasmissione di segnali su reti di
comunicazioni elettroniche” (art. 4, comma 2, lett. d) ed e), del
Codice).
I medesimi adempimenti sono inoltre connessi alla particolare
attivita’ di fornitura dei predetti servizi, quale ad esempio il
servizio telefonico o quello di accesso a Internet. Cio’ significa
che se la violazione riguarda una banca dati del fornitore che non
attiene in maniera specifica al servizio offerto dallo stesso, ma ad
una qualunque delle altre attivita’ che svolge, ad esempio alla
gestione del personale o alla contabilita’, l’obbligo di
comunicazione non vige.
Al riguardo, anche al fine di individuare i soggetti interessati
dalla nuova disciplina, si rinvia alle indicazioni fornite dal
Garante con il provvedimento relativo alla “Sicurezza dei dati di
traffico telefonico e telematico” (provv. del 17 gennaio 2008,
pubblicato in G.U. n. 30 del 5 febbraio 2008, come modificato e
integrato dal provvedimento del 24 luglio 2008, pubblicato in G.U. n
189 del 13 agosto 2008), nel quale vi e’ una sostanziale identita’ di
titolari tenuti alla conservazione ex art. 132 del Codice, nonche’
all’adozione delle misure ivi prescritte.
In tale provvedimento, infatti, e’ stato evidenziato che
“fornitori di servizi di comunicazione elettronica accessibili al
pubblico”, sono quei soggetti che realizzano esclusivamente, o
prevalentemente, una trasmissione di segnali su reti di comunicazioni
elettroniche, a prescindere dall’assetto proprietario della rete, e
che offrono servizi a utenti finali secondo il principio di non
discriminazione (cfr. anche direttiva 2002/21/Ce del Parlamento
europeo e del Consiglio, che istituisce un quadro normativo comune
per le reti e i servizi di comunicazione elettronica (c.d. direttiva
quadro) e d.lg. n. 259/2003 recante il Codice delle comunicazioni
elettroniche).
Al contrario non rientrano tra tali soggetti:
– coloro che offrono direttamente servizi di comunicazione
elettronica a gruppi delimitati di persone (come, a titolo
esemplificativo, i soggetti pubblici o privati che consentono
soltanto a propri dipendenti e collaboratori di effettuare
comunicazioni telefoniche o telematiche). Tali servizi, pur
rientrando nella definizione generale di “servizi di comunicazione
elettronica”, non possono essere infatti considerati come
“accessibili al pubblico”.
– i titolari e i gestori di esercizi pubblici o di circoli
privati di qualsiasi specie che si limitino a porre a disposizione
del pubblico, di clienti o soci apparecchi terminali utilizzabili per
le comunicazioni, anche telematiche, ovvero punti di accesso a
Internet utilizzando tecnologia senza fili, esclusi i telefoni
pubblici a pagamento abilitati esclusivamente alla telefonia vocale;
– i gestori dei siti Internet che diffondono contenuti sulla
rete (c.d. “content provider”). Essi non sono, infatti, fornitori di
un “servizio di comunicazione elettronica” come definito dall’art. 4,
comma 2, lett. e) del Codice. Tale norma, infatti, nel rinviare, per
i casi di esclusione, all’art. 2, lett. c) della direttiva 2002/21/Ce
cit., esclude essa stessa i “servizi che forniscono contenuti
trasmessi utilizzando reti e servizi di comunicazione
elettronica[…]”;
– i gestori di motori di ricerca.

3.1. Servizi erogati tramite altri soggetti.

La nuova normativa prende espressamente in considerazione
l’ipotesi in cui il fornitore affidi l’erogazione del servizio di
comunicazione elettronica ad altri soggetti. In particolare, l’art.
32-bis, comma 8, prevede che, in questi casi, i soggetti esterni
affidatari dell’erogazione del servizio siano tenuti a comunicare
“senza indebito ritardo al fornitore tutti gli eventi e le
informazioni necessarie a consentire a quest’ultimo di effettuare gli
adempimenti” in materia di violazione dei dati personali.
Si tratta di una disposizione che riguarda la particolare
situazione che vede coinvolti i fornitori di comunicazione
elettronica “tradizionali” e, ad esempio, i c.d. operatori virtuali
di rete mobile (Mobile Virtual Network Operator, MVNO), ossia le
societa’ che forniscono servizi di telefonia mobile senza possedere
alcuna licenza per il relativo spettro radio ne’ tutte le
infrastrutture necessarie per fornire tali servizi e che utilizzano a
tale scopo una parte dell’infrastruttura di uno o piu’ operatori
mobili reali (MNO).
I MVNO sono dotati di archi di numerazione telefonica propri e
quindi di proprie SIM card, possono gestire in proprio le funzioni di
commutazione e di trasporto nonche’ la base dati di registrazione
degli utenti mobili. Sono, quindi, completamente autonomi nella
relazione con i clienti, i quali non hanno alcun rapporto diretto con
l’operatore di rete mobile e stipulano un unico contratto, appunto,
con il MVNO.
Da cio’ emerge, pertanto, come gli obblighi di comunicazione
derivanti da eventuali violazioni di dati personali dei clienti (o di
altre persone interessate) incombano sul MVNO, l’unico a conoscere,
nella maggior parte dei casi, l’identita’ dei clienti stessi. E
tuttavia, in ragione del fatto che, come detto, il servizio viene
materialmente erogato dal MNO, e’ necessario che tale soggetto renda
noti tutti gli eventi e le informazioni concernenti l’avvenuta
violazione all’operatore virtuale, in modo tale che questo possa
adempiere ai propri obblighi nei confronti del Garante e,
eventualmente, dei clienti.
Al riguardo, si rinvia alle definizioni contenute nella Delibera
dell’Autorita’ per le garanzie nelle comunicazioni n. 544/00/CONS,
“Condizioni regolamentari relative all’ingresso di nuovi operatori
nel mercato dei sistemi radiomobili” (pubblicata in G.U. n. 183 del 7
agosto 2000).
Un altro caso rientrante nella previsione di cui al comma 8 e’
quello nel quale il fornitore del servizio di comunicazione
elettronica, pur potendosi definire “tradizionale”, affidi in tutto o
in parte la materiale erogazione del servizio stesso a soggetti
terzi, che abbiano le infrastrutture a cio’ necessarie, ad esempio
per ragioni di ottimizzazione dei costi.
Ferma restando la necessita’ che in tali ipotesi i soggetti
coinvolti configurino correttamente i rispettivi ruoli in termini di
titolare e responsabile del trattamento, l’eventuale violazione dei
dati personali trattati nell’ambito dei sistemi affidati dal
fornitore al soggetto terzo, dovra’ essere da questo necessariamente
comunicata al fornitore stesso entro 24 ore dall’avvenuta conoscenza
della violazione, il quale potra’ poi comunicare a sua volta la
violazione al Garante e, se occorre, al contraente o ad altra persona
interessata, come riportato al punto 5.

4. Gestione della sicurezza e delle violazioni.

L’art. 32 del Codice (come modificato dal d.lg. n. 69/2012 in
attuazione di quanto previsto dall’art. 4 della direttiva 2002/58/Ce)
prevede che i soggetti che operano sulle reti di comunicazione
elettronica debbano garantire “che i dati personali siano accessibili
soltanto al personale autorizzato per fini legalmente autorizzati”
(cfr. comma 1-bis) e che le misure tecniche e organizzative, che il
fornitore di comunicazione elettronica deve adottare, siano adeguate
al rischio esistente, garantiscano la protezione dei dati archiviati
o trasmessi da una serie di eventi espressamente indicati
(distruzione, perdita, alterazione, anche accidentali, archiviazione,
trattamento, accesso o divulgazione non autorizzati o illeciti) e
assicurino l’attuazione di una “politica di sicurezza” (cfr. comma
1-ter).
Il nuovo art. 32, comma 3, infine, impone al fornitore di
informare i contraenti, il Garante, l’Agcom e, ove possibile, gli
utenti, dell’esistenza di “un particolare rischio di violazione della
sicurezza della rete”, indicando, quando il rischio e’ al di fuori
dell’ambito di applicazione delle suindicate misure, tutti i
possibili rimedi e i relativi costi presumibili.
Tali previsioni indicano chiaramente come i fornitori siano tenuti
ad organizzarsi al proprio interno al fine di garantire un elevato
livello di sicurezza dei dati detenuti e gestire in maniera
strutturata e tramite procedure e interventi definiti a priori, le
eventuali violazioni di dati personali che dovessero accadere.
Come dichiarato anche dall’ENISA nelle sue recenti Raccomandazioni
(disponibili all’indirizzo
http://www.enisa.europa.eu/activities/identity-andtrust/risks-and-dat
a-breaches/dbn/art4 tech), la gestione del rischio, in primo luogo, e
delle violazioni di dati personali, qualora dovessero verificarsi,
non puo’ essere affidata dai fornitori a un’attivita’ estemporanea.
Essa richiede la predisposizione di un idoneo piano, nel quale dovra’
essere individuata una serie di misure tecniche e organizzative di
livello commisurato al tipo di minaccia, in grado di garantire
risposte tempestive, efficaci e adeguate all’entita’ della
violazione.
Quanto all’individuazione delle misure minime di sicurezza
propriamente dette -ossia quelle alle quali la legge riconduce
sanzioni di carattere anche penale ex art. 169 del Codice- si
richiama l’art. 33 del Codice e le specifiche previsioni contenute
nel Disciplinare tecnico in materia di misure minime di sicurezza, di
cui all’Allegato B (in particolare quelle relative ai trattamenti
svolti con strumenti elettronici), la cui adozione e’ peraltro
obbligatoria per qualunque titolare del trattamento.

4.1. Analisi dei rischi.

Al fine di ottemperare agli obblighi di cui all’art. 32 del
Codice, e’ necessario che i fornitori effettuino una preliminare
ricognizione dell’insieme dei dati personali trattati e dei rischi ai
quali gli stessi vanno incontro.
E’ necessario, quindi, che ciascun fornitore identifichi e
attribuisca un valore ai differenti dati personali che detiene e ai
pericoli cui gli stessi sono esposti, individuando la propria soglia
di accettazione dei rischi e fissando le opportune strategie di
gestione. Il fornitore e’ anche tenuto a individuare delle soglie di
rischio, ad esempio in base a livello basso, medio e alto, in ragione
delle quali decidere non solo quali misure adottare per garantire
un’idonea protezione dei dati detenuti, ma anche se effettuare la
comunicazione al contraente o alle altre persone interessate.
Tale preliminare ricognizione consentira’ ai fornitori di
predisporre misure di sicurezza volte sia a prevenire i possibili
eventi dannosi, sia a intervenire nel momento in cui gli stessi
dovessero comunque -nonostante le misure adottate- verificarsi.
Si tratta di valutazioni sostanzialmente analoghe a quelle che i
fornitori, sino al 10 febbraio scorso, erano tenuti ad effettuare ai
fini della redazione del Documento programmatico sulla sicurezza,
misura minima prevista dalla regola 19 del richiamato Disciplinare
tecnico, abrogata dall’art. 45, comma 1, lett. d), del decreto legge
9 febbraio 2012, n. 5 (convertito, con modificazioni, dalla legge 4
aprile 2012, n. 35).

4.2. Adozione di adeguate misure di sicurezza (in consultazione).

L’analisi dei rischi sopra indicata e’ alla base della
predisposizione, da parte dei fornitori, delle misure di sicurezza
“adeguate al rischio esistente”, richiamate dal nuovo art. 32, comma
1, del Codice, nonche’ dell’individuazione di quelle maggiormente in
grado di porre rimedio alla violazione eventualmente verificatasi, le
quali peraltro debbono essere descritte al Garante nella
comunicazione, come previsto dall’art. 32-bis, comma 5, del Codice.
Si adottano in particolare, le seguenti misure in grado di
garantire un livello minimo comune di sicurezza:
1. rendere i dati trattati immediatamente non disponibili per
ulteriori elaborazioni da parte di sistemi informativi al termine
delle attivita’ svolte e nelle quali gli stessi sono coinvolti,
provvedendo alla loro cancellazione o trasformazione in forma anonima
in tempi tecnicamente compatibili con l’esercizio delle relative
procedure informatiche, nei data base e nei sistemi di elaborazione
utilizzati per i trattamenti, nonche’ nei sistemi e nei supporti per
la realizzazione di copie di sicurezza (backup e disaster recovery),
anche con il ricorso a tecnologie crittografiche o di
anonimizzazione;
2. adottare soluzioni informatiche idonee ad assicurare la
possibilita’ di controllo delle attivita’ svolte sui dati da ciascun
incaricato del trattamento, quali che siano la sua qualifica, le sue
competenze, gli ambiti di operativita’ e le finalita’ del
trattamento. Il controllo deve essere efficace e dettagliato anche
per i trattamenti condotti sui singoli elementi di informazione
presenti sui diversi database utilizzati;
3. porre particolare attenzione ai dispositivi portatili,
predisponendo specifiche misure di sicurezza in grado di mitigare il
rischio connesso alla portabilita’ dell’apparato, e di assicurare
agli stessi un livello di sicurezza analogo a quello applicato agli
altri dispositivi informatici, in considerazione del fatto che molto
spesso le violazioni della sicurezza riguardano i dispositivi mobili
utilizzati da dipendenti e collaboratori dei fornitori al di fuori
degli uffici delle aziende.

5. Comunicazione al Garante: tempi e contenuto.

La predisposizione da parte dei fornitori di un idoneo piano di
gestione delle violazioni sulla base di un’accurata analisi dei
rischi e’ necessaria per poter adempiere correttamente anche
all’obbligo di comunicazione al Garante previsto dall’art. 32-bis.
Tale disposizione stabilisce infatti che il fornitore debba
comunicare la violazione dei dati personali al Garante “senza
indebiti ritardi”, ossia nel momento in cui lo stesso ne viene a
conoscenza.
Stante l’importanza della tempestivita’ della comunicazione al
Garante, ma considerando anche la complessita’ e il numero dei
sistemi in uso presso i fornitori, nonche’ dei dati che detengono, si
ritiene che tali soggetti nelle situazioni piu’ articolate possano,
in un primo momento, limitarsi a fornire all’Autorita’ sommarie
informazioni in relazione alla violazione verificatasi, purche’ cio’
avvenga immediatamente dopo l’avvenuta conoscenza della stessa,
integrando poi la comunicazione in un momento successivo.
Tali sommarie informazioni devono in ogni caso consentire
all’Autorita’ di effettuare una prima valutazione dell’entita’ della
violazione e devono, quindi, comprendere:
• i dati identificativi del fornitore;
• una breve descrizione della violazione;
• l’indicazione della data anche presunta della violazione e
del momento della sua scoperta;
• l’indicazione del luogo in cui e’ avvenuta la violazione dei
dati, anche nel caso in cui essa sia avvenuta a seguito di
smarrimento di dispositivi o di supporti portatili;
• l’indicazione della natura e del contenuto dei dati anche
solo presumibilmente coinvolti;
• una sintetica descrizione dei sistemi di elaborazione o di
memorizzazione dei dati coinvolti, con indicazione della loro
ubicazione.
Si ritengono congrui, quali termini entro i quali provvedere alla
comunicazione, quello di 24 ore dall’avvenuta conoscenza della
violazione per la prima sommaria comunicazione, e quello di 3 giorni
dalla stessa per la comunicazione dettagliata. Per agevolare
l’adempimento, e’ stato predisposto un modello di comunicazione da
inviare al Garante, disponibile on line sul sito dell’Autorita’ e
idoneo alla raccolta delle informazioni sulla violazione nonche’ al
loro successivo trattamento con strumenti informatici da parte del
Garante.
Quanto al contenuto della comunicazione, l’art. 32-bis, comma 5,
del Codice prevede che essa, oltre alla descrizione della natura
della violazione, all’indicazione dei punti di contatto presso cui
ottenere maggiori informazioni e all’elenco delle misure raccomandate
per attenuare i possibili effetti pregiudizievoli della violazione
(elementi da inserire anche nell’eventuale comunicazione ai soggetti
interessati), descriva le conseguenze della violazione e le misure
proposte o adottate dal fornitore per porvi rimedio.
Qualora, all’esito delle verifiche effettuate dal fornitore
successivamente alla prima sommaria comunicazione, non dovessero
emergere ulteriori elementi, il fornitore dovra’ comunicare al
Garante le modalita’ con le quali ha posto rimedio alla violazione e
le misure adottate per prevenire ulteriori violazioni della medesima
specie.
In sostanza, e’ necessario che dalla comunicazione emergano gli
elementi dai quali l’Autorita’ possa valutare compiutamente la
gravita’ dell’evento verificatosi, anche in ragione del numero dei
soggetti coinvolti e della quantita’ e qualita’ dei dati colpiti,
l’entita’ del danno cagionato e le misure adottate per ridurlo. Cio’,
al fine di intervenire con le prescrizioni che si rendessero
necessarie, compresa quella di comunicare l’avvenuta violazione ai
contraenti o alle altre persone interessate.
Parimenti importante, al fine di consentire all’Autorita’ di
svolgere eventuali accertamenti, risulta l’indicazione, nella
comunicazione, dei sistemi applicativi colpiti dalla violazione,
nonche’ l’ubicazione fisica dei sistemi di elaborazione impiegati nel
trattamento.
L’obbligo di comunicare l’avvenuta violazione al Garante ed
eventualmente al contraente (o ad altra persona interessata)
sussiste, ovviamente, anche qualora l’evento abbia interessato
dispositivi mobili e indipendentemente dal fatto che sugli stessi
siano installati sistemi di protezione dei dati. Anche per tali
dispositivi (come si vedra’ nel prosieguo) l’unica ipotesi in cui il
fornitore puo’ esimersi dalla comunicazione al contraente (o ad altra
persona interessata) e’ quella in cui i dati in essi contenuti o
tramite gli stessi accessibili siano stati resi inintelligibili.

6. Inventario delle violazioni di dati personali.

Al medesimo scopo, quello cioe’ di consentire al Garante di
svolgere il proprio compito di controllo sul rispetto, da parte dei
fornitori, delle disposizioni in materia di violazione dei dati
personali, e’ finalizzata la previsione relativa alla tenuta di un
inventario aggiornato delle violazioni, di cui all’art. 32-bis, comma
7, del Codice (cfr. anche considerando 58, direttiva 136/2009/Ce).
In tale inventario, i fornitori devono inserire tutte (e soltanto)
le informazioni necessarie a chiarire le circostanze nelle quali si
sono verificate le violazioni, le conseguenze che le stesse hanno
avuto e i provvedimenti adottati per porvi rimedio.
L’inventario dovra’ essere continuamente aggiornato dai fornitori
e messo a disposizione del Garante, qualora l’Autorita’ chieda di
accedervi. Dovranno, inoltre, essere adottate dal fornitore idonee
misure atte a garantire l’integrita’ e l’immodificabilita’ delle
registrazioni in esso contenute.

7. Comunicazione al contraente o ad altre persone.

Qualora si verifichi una violazione di dati personali e dalla
stessa possa derivare un pregiudizio ai dati personali o alla
riservatezza di un contraente o di altre persone, ossia dei soggetti
ai quali si riferiscono i dati violati, oltre alla comunicazione al
Garante, i fornitori sono tenuti a comunicare l’avvenuta violazione,
senza ritardo, anche a tali soggetti (art. 32-bis, comma 2, del
Codice).
In questo caso, si ritiene che il fornitore debba procedere alla
suindicata comunicazione non oltre il termine di 3 giorni
dall’avvenuta conoscenza della violazione. Il fornitore potra’ poi
scegliere il canale di comunicazione che riterra’ piu’ idoneo,
tenendo conto di quanto indicato nel successivo punto 7.2.
La predetta comunicazione non e’ dovuta se il fornitore e’ in
grado di dimostrare al Garante di aver applicato ai dati oggetto
della violazione misure tecnologiche di protezione che li hanno resi
inintelligibili a chiunque non sia autorizzato ad accedervi (cfr.
art. 32-bis, comma 3, del Codice), ad esempio, tramite tecniche di
cifratura.
In ogni caso, in ragione dell’entita’ del possibile pregiudizio
per gli interessati, devono essere sempre comunicate immediatamente
ai contraenti le violazioni che riguardano le credenziali di
autenticazione (nome utente e password, ancorche’ quest’ultima sia
cifrata o sottoposta a funzioni di hashing) o le chiavi di cifratura
utilizzate dai contraenti medesimi.

7.1. Inintelligibilita’ dei dati (in consultazione).

A giudizio dell’Autorita’, si considerano inintelligibili i dati
che, ad esempio:
a. siano stati cifrati in modo sicuro attraverso un algoritmo
standardizzato, purche’ la chiave di decifrazione non sia stata
compromessa da violazioni della sicurezza e sia stata generata in
modo da non consentirne la derivazione con gli strumenti tecnologici
disponibili da parte di soggetti non autorizzati ad accedervi; oppure
b. siano stati sostituiti da un valore di hash calcolato
attraverso una funzione crittografica di hashing a chiave, purche’ la
chiave utilizzata per effettuare lo hashing dei dati non sia stata
compromessa da violazioni della sicurezza e sia stata generata in
modo da non consentirne la derivazione con gli strumenti tecnologici
disponibili da parte di soggetti non autorizzati ad accedervi; oppure
c. siano stati resi anonimi con procedure tali da rendere
praticamente impossibile la reidentificazione degli interessati cui
si riferiscono da parte di soggetti non legittimati al loro
trattamento.
In ragione del fatto che, astrattamente, il rischio che una
violazione di dati personali arrechi pregiudizio ai dati stessi o
alla riservatezza dei soggetti ai quali essi si riferiscono e’ sempre
sussistente, non e’ certamente semplice definire a priori in quali
casi il fornitore possa esimersi dall’effettuare la comunicazione
della violazione al contraente o alle altre persone interessate.
L’art. 32-bis, comma 4, del Codice prevede comunque che, ove il
fornitore non vi abbia provveduto, il Garante, considerate le
presumibili ripercussioni negative della violazione, puo’ obbligare
lo stesso ad effettuare la comunicazione al contraente o ad altra
persona interessata. E’ evidente che tale possibilita’ prescinde dal
fatto che il fornitore abbia reso inintelligibili i dati violati:
tale evenienza riduce, non fa venir meno, il rischio che i dati
violati siano comunque decifrabili e che, pertanto, il Garante
imponga di effettuare comunque la comunicazione.
Da quanto detto, risulta di tutta evidenza la necessita’ che il
fornitore dia conto, nella comunicazione al Garante, della politica
di sicurezza attuata e che descriva anche le conseguenze della
violazione verificatasi e le misure proposte o adottate per porvi
rimedio, in tal modo consentendo all’Autorita’ di fare le proprie
valutazioni e dare eventuali prescrizioni.

7.2. Canale per la comunicazione al contraente o ad altre persone
(in consultazione).

Ciascun fornitore dovra’ valutare quale sia il canale di
comunicazione che consente di raggiungere piu’ facilmente e
tempestivamente i soggetti i cui dati sono interessati dalla
violazione. E cio’, sia con riguardo ai contraenti, sia, soprattutto,
con riferimento a quelle persone che non sono clienti del fornitore,
ma che pure sono state coinvolte dalla violazione.
In determinate circostanze, soprattutto con riferimento ai
soggetti da ultimo indicati, ma anche in relazione ai clienti del
fornitore, nei casi in cui sia coinvolto un numero molto elevato di
contraenti, si ritiene che il medesimo fornitore possa piu’
facilmente raggiungere lo scopo previsto dalla normativa -informare
senza ritardo i soggetti i cui dati sono coinvolti dalla violazione-
tramite forme di comunicazione diverse da quella ad personam.
Si ritiene, cioe’, che in alcuni casi siano piu’ utili forme di
comunicazione di carattere pubblico, quali la diffusione di avvisi su
quotidiani, anche online, oppure per mezzo di emittenti radiofoniche,
anche locali. Tali forme alternative di comunicazione ai contraenti o
alle altre persone coinvolte dalla violazione vanno ovviamente
realizzate anch’esse entro il piu’ breve lasso di tempo e, comunque,
entro il termine di 3 giorni indicato ai punti 5 e 7.

7.3. Valutazione del rischio che richiede la comunicazione al
contraente o ad altre persone (in consultazione).

Come si e’ detto, e’ necessario che il fornitore effettui delle
valutazioni per decidere quali misure adottare per ridurre il
rischio, attenuare il danno qualora si verifichi la violazione e
decidere se comunicare al contraente e/o alle altre persone,
consentendo loro, cosi’, di adottare le precauzioni necessarie.
Tali valutazioni dovrebbero essere svolte sulla base di criteri
determinati e comuni a tutti i fornitori, in modo tale da porre in
campo scelte ponderate e confrontabili. Potrebbero soccorrere, ai
fini della suindicata valutazione, innanzitutto elementi quali la
quantita’ e la qualita’ dei dati coinvolti nella violazione.
A titolo meramente esemplificativo, una violazione che riguardi un
solo dato personale o, anche, piu’ dati personali, non sensibili, di
un solo contraente -ferma restando la necessita’ che il fornitore
adotti tutte le misure in grado di ridurre il danno- potrebbe non
dover essere necessariamente comunicata allo stesso ai sensi
dell’art. 32-bis, comma 2.
Parimenti importante e, dunque, da considerare nella valutazione
del rischio, e’ la “attualita’” dei dati detenuti, ossia il tempo
trascorso dall’acquisizione dei dati stessi e dal loro inserimento
nei database del fornitore. Dati piu’ recenti potrebbero infatti
destare maggiore interesse per eventuali malintenzionati in quanto e’
piu’ alta la probabilita’ che essi esprimano in modo attendibile uno
“stato” o una specifica condizione (economica, di salute, abitativa
ecc.) in cui si trova l’interessato al momento dell’avvenuta
violazione.
Potrebbe essere utile poi, per decidere se comunicare o meno la
violazione agli interessati, considerare gli effetti della violazione
stessa e ritenere sussistente il pregiudizio per i dati o la vita
privata del contraente o di altra persona quando la violazione
“implica, ad esempio, il furto o l’usurpazione d’identita’, il danno
fisico, l’umiliazione grave o il danno alla reputazione in relazione
con la fornitura di servizi di comunicazione” (cfr. considerando 61,
direttiva 2009/136/Ce).
Per giungere a valori uniformi e comparabili, i fornitori
dovrebbero affrontare la valutazione del rischio anche con un
approccio di tipo quantitativo, individuando in ragione dei succitati
attributi dei dati coinvolti nella violazione (qualita’, quantita’,
attualita’, ecc.), specifiche metriche in grado di rappresentare gli
effetti pregiudizievoli che la stessa potrebbe provocare
sull’interessato.

8. Conseguenze per le ipotesi del mancato rispetto dei nuovi
obblighi di sicurezza.

Per le ipotesi di violazione dei nuovi obblighi di sicurezza, il
d.lg. n. 69/2012 ha introdotto nel Codice nuove e specifiche sanzioni
amministrative (cfr. art. 162-ter) ed ha esteso quella penale
prevista dall’art. 168 all’ipotesi di falsita’ nelle notificazioni al
Garante ai sensi dell’art. 32-bis, commi 1 e 8.
L’art. 162-ter stabilisce che la omessa o ritardata comunicazione
della violazione di dati personali al Garante ex art. 32-bis, comma
1, e’ punita con la sanzione amministrativa del pagamento di una
somma da venticinquemila euro a centocinquantamila euro; la omessa o
ritardata comunicazione della violazione di dati personali al
contraente o ad altra persona ex 32-bis, comma 2, e’ punita con la
sanzione amministrativa del pagamento di una somma da centocinquanta
euro a mille euro per ciascun contraente o altra persona interessata.
In tale ipotesi, poi, il fornitore non puo’ beneficiare del cumulo
giuridico di cui all’art. 8 della legge n. 689/1981 e, tuttavia, la
sanzione non puo’ essere applicata in misura superiore al 5 per cento
del volume d’affari realizzato dallo stesso nell’ultimo esercizio
chiuso anteriormente alla notificazione della contestazione della
violazione amministrativa, ferma restando la possibilita’ di aumento
fino al quadruplo se le sanzioni risultino inefficaci in ragione
delle condizioni economiche del contravventore, ai sensi dell’art.
164-bis, comma 4 (cfr. art. 162-ter, commi 2 e 3).
Ai sensi dell’art. 162-ter, comma 4, la violazione della
disposizione concernente la tenuta di un aggiornato inventario delle
violazioni di dati personali, e’ punita con la sanzione
amministrativa del pagamento di una somma da ventimila euro a
centoventimila euro.
Le medesime sanzioni previste per i fornitori si applicano anche
nei confronti dei soggetti ai quali sia stata affidata l’erogazione
dei servizi, qualora tali soggetti abbiano omesso di comunicare senza
ritardo al fornitore tutte le informazioni necessarie allo stesso per
adempiere ai propri obblighi (art. 162-ter, comma 5).
L’art. 168 punisce, infine, salvo che il fatto costituisca piu’
grave reato, con la reclusione da sei mesi a tre anni il fornitore
che dichiari o attesti falsamente notizie o circostanze, o produca
atti o documenti falsi in occasione della comunicazione al Garante
conseguente alla violazione di dati personali, nonche’ i soggetti,
cui sia affidata l’erogazione del servizio, che effettuino false
comunicazioni al fornitore.

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – DELIBERAZIONE 26 luglio 2012

Edilone.it