A cura del Dott. Diego Liberati, Sr. Compliance Analyst presso la Funzione Compliance & Ethics di American Express Italia.
Le opinioni espresse dall’autore sono personali e non impegnano in alcun modo l’attuale Istituzione di appartenenza.
Nella prima parte dell’articolo abbiamo approfondito il crescente fenomeno di furto di dati. Continuiamo ad analizzare i requisiti introdotti dal nuovo regolamento europeo per arginare il diffondersi di questo rischio. È prevista la notifica della violazione all’autorità di controllo (Art .33) ed, in casi particolari anche all’interessato.
Articolo 34 – Comunicazione di una violazione dei dati personali all’interessato
Diversamente dalla notifica all’autorità, non si menziona un termine preciso entro il quale adempiere, ma il legislatore prevede che questa debba avvenire “senza ingiustificato ritardo”. L’obbligo di comunicazione all’interessato scatta nei casi più gravi, in cui dalla violazione possano derivare rischi elevati per i diritti e le libertà delle persone fisiche.
La comunicazione all’interessato deve essere formulata con un linguaggio chiaro e semplice e deve contenere il nome del responsabile della protezione dei dati, le probabili conseguenze della violazione, le misure adottate per porvi rimedio e/o attenuarne gli effetti negativi.
La comunicazione di una violazione all’interessato non è richiesta qualora:
- il titolare del trattamento abbia posto in essere misure tecnico organizzative tali da rendere i dati personali violati incomprensibili (ad es. la cifratura);
- il titolare del trattamento successivamente alla violazione abbia posto in essere misure atte a scongiurare rischi elevati per i diritti e le libertà delle persone fisiche;
- la comunicazione all’interessato richiederebbe sforzi sproporzionati (ad es. nel caso di una molteplicità di soggetti). In questo caso è sufficiente una comunicazione pubblica che abbia analoga efficacia.
Infine, è previsto che nei casi in cui il titolare del trattamento non abbia ancora inviato la comunicazione all’interessato, l’autorità di controllo possa richiedere che vi provveda o meno, in seguito alla valutazione sull’esistenza di una delle condizioni prima descritte.
I recenti casi di cronaca ci fanno sempre più riflettere sull’impossibilità di un sistema totalmente inattaccabile e sembrava che il regolatore comunitario si fosse appunto orientato in questo senso, attraverso la previsione di un sistema di certificazioni da parte di enti terzi riconosciuti – e adesione a codici di condotta destinati a contribuire alla corretta applicazione del Regolamento – per garantire il rispetto dei minimi standard disponibili.
Azioni indispensabili per la difesa dei dati
Se non possiamo difenderci del tutto, occorre fare l’indispensabile. Vediamo come.
L’adesione da parte del responsabile del trattamento ad un codice di condotta o a un meccanismo di certificazione approvato:
- è rilevante per dimostrare il rispetto degli obblighi del titolare del trattamento e per dimostrare la conformità ai requisiti di Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita ex art. 25 del Regolamento.
- può essere utilizzata come elemento per dimostrare l’adozione di garanzie sufficienti di cui ai paragrafi 1-4 dell’articolo 28 (in sintesi la previsione di idonee garanzie quando il titolare ricorre al Responsabile o il responsabile ad un altro responsabile per il trattamento o l’esecuzione di specifiche attività di trattamento per conto del titolare).
- può dimostrare la conformità ai requisiti dettati dal paragrafo 1 dell’art. 32 ovvero la previsione da parte del titolare del trattamento e del responsabile del trattamento di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tra cui:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
In particolare le certificazioni devono essere rilasciate da organismi di certificazione che siano accreditati dall’autorità di controllo competente ai sensi degli articoli 55 o 56, dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente ai sensi degli articoli 55 o 56, o da entrambi i soggetti.
Gli organismi di certificazione di cui sopra sono accreditati solo se hanno:
- dimostrato in modo convincente all’autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione,
- istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati,
- istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione è stata o è attuata dal titolare del trattamento o dal responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico,
- dimostrato in modo convincente all’autorità di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conflitto di interessi.
L’accreditamento è rilasciato per un periodo massimo di cinque anni e può essere rinnovato alle stesse condizioni purché l’organismo di certificazione soddisfi i requisiti. L’autorità di controllo competente o l’organismo nazionale di accreditamento revoca l’accreditamento di un organismo di certificazione se le condizioni per l’accreditamento non sono, o non sono più, rispettate o se le misure adottate da un organismo di certificazione violano il Regolamento.
La certificazione, invece, è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti. La certificazione è revocata, se del caso, dagli organismi di certificazione di o dall’autorità di controllo competente, qualora non siano più soddisfatti i requisiti per la certificazione.
Conclusioni
In conclusione, crediamo che i minimi stabiliti debbano necessariamente aggiornarsi di pari passo con i progressi tecnologici e che comunque non si raggiungerà mai un livello di sicurezza tale da garantire la certezza che i dati siano inviolabili.
Lato aziende/professionisti esiste dunque, sempre, un concreto rischio di violazione e la soluzione, per il momento, è avvertire tempestivamente le autorità e gli interessati laddove si sia registrata una violazione dei propri sistemi. Occorre tutelarsi, in via preventiva, aderendo ad un sistema di codici di condotta e certificazioni per dimostrare che quanto possibile era stato effettivamente fatto.
Lato cliente gli accorgimenti sono sempre i soliti: limitare al massimo la propria presenza in rete e quella di informazioni chiave da inviare attraverso la rete; nel recente caso che ha coinvolto il candidato democratico alla presidenza USA, vi è stato a monte un errore dell’utente che ha usato un server di posta privato per mail collegate alla sua funzione pubblica.