In caso di data breach il titolare del trattamento deve

La figura del Responsabile del trattamento prevista dall’art. 28 del GDPR è generalmente nota: “qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato“.

I trattamenti di dati personali del Titolare da parte di un Responsabile del trattamento sono, quindi, disciplinati da un contratto vincolante per quest’ultimo all’interno del quale viene, di norma, previsto che il Responsabile:

1. tratti i dati personali soltanto su istruzione documentata del Titolare del trattamento;
2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
3. adotti tutte le misure richieste dall’art. 32 GDPR;
4. rispetti determinati criteri, indicati nei paragrafi 2 e 4 dell’art. 28, per nominare un altro Responsabile;
5. assista il Titolare del trattamento con misure tecniche ed organizzative adeguate;
6. assista il Titolare del trattamento negli obblighi di cui agli articoli 32 – 36 GDPR;
7. su richiesta del Titolare, cancelli o restituisca tutti i dati personali al termine del proprio servizio;
8. metta a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti a suo carico, consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato;
9. informi immediatamente il Titolare del trattamento qualora un’istruzione violi il Regolamento o altro atto normativo;
10. imponga i medesimi obblighi di cui sopra ai Responsabili del trattamento da lui nominati (i cosiddetti “Sub-responsabili”).

Un mio cliente mi ha recentemente contattato per segnalarmi che il proprio fornitore di servizi di fatturazione elettronica – una nota e consolidata realtà imprenditoriale – è stato oggetto di un attacco cyber che avrebbe compromesso i suoi sistemi IT.

Il fornitore, però, ha trasmesso al mio cliente solo un un laconico comunicato, avvisandolo di aver subito un attacco e di aver, pertanto, scollegato tutti i propri sistemi IT per impedire danni maggiori.

Il comportamento adottato da questo Responsabile del trattamento non è conforme a quanto richiesto dalla normativa europea e dalla generalità degli accordi ex art. 28 GDPR che sono stipulati con i Titolari del trattamento.

L’art. 33 del GDPR prevede, infatti, che, in caso di violazione dei dati, il Responsabile del trattamento deve avvertire il Titolare dell’avvenuta violazione dei dati, fornendogli ogni informazioni necessaria e idonea per consentire a quest’ultimo una compiuta analisi dei fatti e decidere se procedere o meno alla notificazione dell’evento al Garante per la Protezione dei Dati.

Secondo l’art. 33, comma 2, GDPR, “il Responsabile del trattamento informa il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”.

La ragione di tale disposizione è chiara: una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali, alle persone fisiche: ad esempio, la perdita di controllo di dati personali che li riguardano può causare discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza, etc..

L’informativa del Responsabile al Titolare non può, quindi, essere limitata – come, invece, accaduto nel caso del mio cliente – ad una generica comunicazione di aver subito un data breach, ma dovrà indicare tutti gli elementi necessari a consentire al Titolare una piena valutazione dei fatti e contenere perlomeno:

• la descrizione della natura della violazione;
• le categorie e il numero approssimativo di interessati coinvolti;
• le probabili conseguenze della violazione;
• le misure adottate per rimediare alla violazione ed attenuarne gli effetti negativi.

Ricordo, a questo riguardo che, secondo il WP29, al fine di garantire l’effettivo rispetto delle previsioni in materia di data breach, il Responsabile del trattamento “deve attivarsi immediatamente” nei confronti del Titolare, comunicando in tempo reale le informazioni in suo possesso, tenuto anche conto anche delle specifiche caratteristiche sia del Responsabile stesso sia del tipo di data breach che l’ha coinvolto.

Inoltre, deve essere tenuto in considerazione che il Responsabile del trattamento, ai sensi dell’art. 28 GDPR, deve presentare garanzie sufficienti per l’attuazione di misure tecniche ed organizzative adeguate per la protezione dei dati personali e che, per contratto, è tenuto ad assistere il Titolare del trattamento nel garantire un tempestivo rispetto dell’obbligo di notifica del data breach, tenuto conto della natura del trattamento e delle informazioni in suo possesso.

Se, poi, come nel caso del fornitore del mio cliente, il Responsabile svolge trattamenti per conto di più Titolari interessati dallo stesso incidente, il Responsabile dovrà informarli tutti dell’accaduto e, qualora sia previsto dagli accordi contrattuali con il Titolare, anche effettuare lui stesso la notifica al Garante in nome e per conto del Titolare.

Come avviene la segnalazione di un data breach?

Quando il titolare del trattamento non deve comunicare le violazioni agli interessati?

In quale caso il titolare del trattamento deve comunicare all interessato la violazione di un dato personale ai sensi dell'art 34 GDPR?

Cosa deve fare il titolare del trattamento?