Un estratto dell’articolo di Giovanni Crea – Direttore della rivista Diritto, Economia e Tecnologie della Privacy – scritto per Altalex.

Il costrutto della violazione dei dati personali copre un insieme di casi che, a ben vedere, vanno oltre il suo significato intuitivo di accesso non autorizzato all’archivio che li contiene. Sappiamo, al riguardo, come anche la perdita di un dispositivo, l’invio di una comunicazione elettronica a un indirizzo errato, un black-out energetico possano integrare casi di data breach nella misura in cui sono coinvolti dati personali; e così anche il caricamento di dati personali per errore su server esterni al titolare del trattamento – è il caso che ha interessato nel mese di luglio 2019 circa 13.000 clienti della Banca d’Australia[1] – va annoverato nella categoria in discorso.

La violazione dei dati personali in senso allargato descrive, pertanto, il verificarsi di un evento o comportamento che determinano una discontinuità del controllo di tali dati da parte del titolare del trattamento; una fuoriuscita dal perimetro di attività delle persone autorizzate al trattamento – che operano sotto l’autorità di un titolare o di un responsabile esterno del trattamento – e di cui il titolare è chiamato a valutare le “probabili conseguenze” – in altre parole, i rischi – per i diritti e le libertà delle persone fisiche. In questa prospettiva, anche la condivisione di dati personali tra unità organizzative diverse, appartenenti alla medesima azienda, se non giustificata, configura una fuoriuscita di dati, sia pure interna al titolare del trattamento, e dunque un profilo di data breach riconducibile alla perdita di riservatezza. Alla luce delle varie e non infrequenti specie di violazione dei dati personali, l’analisi del rischio ante-violazione rappresenta un passaggio essenziale per il titolare del trattamento ai fini della preventiva definizione delle misure tecniche e organizzative idonee alla mitigazione del rischio medesimo. La stessa analisi appare, altresì, un utile riferimento da cui derivare il rischio post-violazione – vale a dire, il rischio con cui il titolare si confronta dopo che si è verificata la violazione (minaccia) – senza tuttavia escludere l’opportunità, in tale fase, di eventuali valutazioni aggiuntive legate alle specifiche circostanze della violazione[2].

Sommario

1. Dal principio di autodeterminazione degli interessati a quello di accountability dei titolari
2. Aspetti organizzativi della fase post-violazione
3. Implicazioni dell’esternalizzazione del trattamento

1. Dal principio di autodeterminazione degli interessati a quello di accountability dei titolari

Gli interventi sanzionatori delle autorità di controllo sui casi di data breach finiti sotto le loro lenti di ingrandimento – tra i più recenti si ricordano Rousseau, British Airways, Marriot – se da un lato rivelano una scarsa attività preventiva da parte delle organizzazioni, dall’altro lasciano presagire un cambio di passo della regolamentazione sotto il profilo dell’enforcement che dovrebbe incentivare le stesse organizzazioni all’adozione di un modello aziendale fondato sull’analisi dei rischi e la loro conseguente attenuazione. Sul punto, è appena il caso di osservare – se mai ve ne fosse bisogno – come un simile approccio non possa che far leva sulle risorse e le capacità dei titolari del trattamento, e non degli interessati i quali non possono essere completamente consapevoli delle “probabili conseguenze di una probabile violazione” dei dati che li riguardano[3]; e se anche lo fossero, comunque non avrebbero le capacità di valutarle. Alla luce di questo squilibrio, è anche facile comprendere come la base giuridica del consenso – attraverso cui gli interessati dovrebbero esercitare la loro libertà di autodeterminazione – e, più in generale, il modello del controllo sui propri dati, non siano strumenti efficaci con i quali gli stessi interessati possono realisticamente conoscere i rischi associati ai trattamenti e assumere le conseguenti decisioni.

Con riguardo alla questione del controllo, appaiono tanto meno attendibili i modelli di intermediazione come quello proposto dalla start up Hoda (Holistic Data Activation) che, con l’applicazione Weople, promette agli interessati il controllo dei dati che li riguardano[4]. Invero, in tale evenienza si prefigurano solo altri trattamenti da parte di un ulteriore titolare – l’intermediario – che, nei fatti, non attribuiscono il pieno controllo agli interessati[5].

Si deve pertanto concludere che i rischi, per i singoli e per la collettività, associati a un trattamento devono essere necessariamente e previamente valutati dai titolari in ragione delle loro conoscenze delle caratteristiche dei trattamenti e del contesto, e della detenzione di risorse[6]; in tal modo, il nucleo centrale della regolamentazione del trattamento dei dati personali si sposta dal principio di autodeterminazione e controllo degli interessati a quello di accountability degli operatori del trattamento.

L’analisi dei rischi, prima e dopo una violazione, e il conseguente processo di mitigazione vanno peraltro inquadrati nell’ambito di un modello organizzativo attraverso il quale il titolare del trattamento tenta di controllare le attività compiute sui dati personali per suo conto, anche tenendo conto delle situazioni di esternalizzazione che possono riguardare tali attività.

2. Aspetti organizzativi della fase post-violazione

Il modello organizzativo per la protezione dei dati personali riguarda, tra gli altri adempimenti richiesti dal regolamento 2016/679, la gestione dei casi di avvenuta violazione dei dati personali. L’intervento ex post riposa sulla considerazione che anche l’adozione preventiva di misure di sicurezza adeguate non esclude che la minaccia possa ugualmente verificarsi producendo un impatto di una qualche gravità; in altre parole, il rischio non è eliminabile in modo permanente, anche con interventi funzionali alla riduzione della probabilità della minaccia e delle sue conseguenze. Non a caso, tra le altre misure che il regolamento indica ai titolari e responsabili del trattamento per garantire un livello di sicurezza adeguato al rischio, appare la procedura di ripristino della disponibilità dei dati personali e dell’accesso agli stessi, in caso di incidenti[7]. Il modello organizzativo deve pertanto contemplare anche attività di gestione della fase post-violazione per le quali appare opportuna la costituzione di una unità operativa (data breach unit) con compiti che vanno dalla rilevazione dell’evento anomalo e dall’accertamento della sua natura[8] fino alle decisioni prefigurate dal regolamento nel quadro degli articoli 33 e 34 (notifica all’autorità di controllo, comunicazione agli interessati, nessuna procedura informativa) e, secondo i casi, dal regolamento c.d. e-Idas[9] e dalla direttiva c.d. Nis[10].[11]

La data breach unit rappresenta pertanto il nucleo operativo a cui è demandata la gestione della fase che viene innescata dal verificarsi di un evento anomalo; per tale attività, la composizione del gruppo deve comprendere le funzioni organizzative che svolgono operazioni sui dati personali e che, per questo, sono potenzialmente esposte a eventi o comportamenti riconducibili a violazioni di dati e alle loro conseguenze. A tal riguardo, non va esclusa l’ipotesi di inserimento nell’unità anche dei responsabili del trattamento a cui il titolare ha affidato determinate operazioni. In questa prospettiva, va osservato come le varie forme di conoscenza legate alla specifica attività di una funzione (know how, schemi cognitivi, routine, managerial insight), insieme all’apprendimento della materia della protezione dei dati e delle “procedure data breach”, costituiscano risorse essenziali di cui l’unità di crisi dovrebbe potersi avvalere per l’identificazione (in tali specifici contesti) dei profili di violazione (riservatezza, integrità, disponibilità), la valutazione dei possibili impatti sui diritti e le libertà delle persone fisiche e la registrazione a fini di accountability. Non va peraltro sottaciuto che se le conoscenze operative sono un patrimonio cognitivo sedimentatosi nel tempo e con l’esperienza, lo stesso non sembra potersi dire per le regole – e dunque le procedure che queste comportano all’interno di un’organizzazione – a cui il trattamento dei dati personali deve conformarsi, il cui apprendimento richiede inevitabilmente un’attività di formazione, attraverso la quale il titolare e il responsabile del trattamento possono svolgere un’azione di potenziamento del fattore umano che non infrequentemente è la causa di una violazione dei dati personali ovvero di un mancato intervento ex post che potrebbe quanto meno ridurre la probabilità che la violazione produca una conseguenza di una qualche gravità. La somministrazione formativa, in qualunque modalità essa avvenga, va pertanto annoverata nel quadro delle policies che il titolare e il responsabile del trattamento dovrebbero attuare[12] per dimostrare le capacità delle proprie risorse – gli autorizzati al trattamento – di garantire la compliance delle loro operazioni alle previsioni del regolamento. L’assenza di un piano formativo, per converso, denota una vulnerabilità dell’organizzazione che, come ci racconta il report di Kaspersky[13], si traduce in errori e comportamenti incauti dei dipendenti.

3. Implicazioni dell’esternalizzazione del trattamento

Nella prospettiva organizzativa la risposta all’evento di data breach va dunque inquadrata in un processo aziendale coordinato dalla data breach unit[14]; processo che, stando al contenuto dell’articolo 33.1 del regolamento, in caso di rischio per i diritti e le libertà delle persone fisiche, dovrebbe svolgersi in un tempo stabilito in settantadue ore, conteggiate dal momento in cui il titolare del trattamento viene a conoscenza della violazione; termine peraltro non perentorio in ragione del fatto che non sempre le violazioni sono rilevabili facilmente, e che in tali casi sono necessarie indagini più approfondite da parte del titolare ai fini dell’acquisizione di una ragionevole certezza per dirsi consapevole dell’evento; e anche là dove il titolare appurasse l’esistenza di una violazione, non è detto che lo stesso disponga di tutti gli elementi utili per svolgere una descrizione completa ed esaustiva nel suddetto arco di tempo. Per tali verosimili motivi, il regolamento ammette che la notifica possa essere effettuata in più fasi[15], in tal modo incoraggiando i titolari del trattamento ad adeguare i loro modelli organizzativi alla raccolta delle informazioni in tempi brevi.

La gestione della risposta organizzativa a una violazione di dati si fa tanto più impegnativa in relazione all’esternalizzazione del trattamento in cui gli accordi di appalto e subappalto di operazioni sui dati personali coinvolgono più responsabili esterni del trattamento. La catena dell’esternalizzazione dei trattamenti introduce pertanto un elemento di complessità che, anche alla luce degli obblighi informativi che il regolamento prevede a carico del responsabile esterno del trattamento[16], richiede il coordinamento operativo tra la data breach unit del titolare e lo stesso responsabile per la gestione dei casi di violazione dei dati personali che avvengono presso quest’ultimo o i suoi sub-responsabili; condizione, questa di cui va opportunamente tenuto conto nell’ambito dell’accordo che disciplina il rapporto tra il titolare e il responsabile del trattamento con l’inserimento di clausole esplicative delle modalità di comunicazione e delle attività di assistenza[17].

Lo scenario si complica ulteriormente nel caso in cui la catena dell’esternalizzazione si estende oltre i confini dell’Unione, verosimilmente avvalendosi di sistemi cloud. In queste condizioni, sul piano pratico, la gestione risente inevitabilmente dell’effetto distanza e del non facile controllo delle violazioni di dati personali che potrebbero verificarsi presso un ‘anello’ periferico, malgrado le previsioni degli artt. 28.3.f) e 28.4 del regolamento; condizioni che richiederebbero al responsabile del trattamento ed ai sub-responsabili – e, in una prospettiva di condivisione, anche al titolare – investimenti aggiuntivi per la realizzazione di un sistema di gestione delle violazioni lungo la catena dell’esternalizzazione (ad esempio, sistemi di notifica telematica al responsabile del trattamento degli alert presso i sub-responsabili). Al riguardo, va osservato come la prospettiva degli investimenti in ambito data protection abbia da sempre determinato effetti disincentivanti negli operatori – specie nelle Pmi – legati alla percezione di una ‘inutilità’ economica (assenza di un rendimento) e alla mancanza di chiare evidenze che tali investimenti eviterebbero, con ragionevole certezza, costi ben più elevati (perdita di immagine, risarcimenti di danni agli interessati, spese legali, sanzioni). D’altro canto, i problemi di controllo posti dai subappalti dei trattamenti hanno implicazioni di accountability di cui il titolare del trattamento deve tener conto nel quadro degli accordi definiti con i responsabili del trattamento, anche per facilitare le attività della data breach unit (ad esempio, chiedendo ai responsabili la disponibilità dei contratti conclusi con i sub-responsabili).

Questioni tutt’altro che pacifiche – specie nei casi in cui il responsabile del trattamento mostra una maggiore forza contrattuale rispetto al titolare – per le quali appare opportuno un intervento delle autorità di controllo che, nel quadro dei poteri autorizzativi ad esse attribuiti dal regolamento, possa fornire ai titolari del trattamento un effettivo supporto sotto il profilo dell’accountability, in particolare prescrivendo ai grandi processor, oltre le certificazioni sull’adozione di misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, l’utilizzo di un modello contrattuale idoneo a sostenere i titolari nella gestione delle eventuali violazioni[18]. A tal riguardo, rileva richiamare l’art. 58.3.g) reg. a norma del quale le autorità di controllo possono adottare clausole contrattuali tipo per le materie di cui all’art. 28, paragrafi 3 e 4 conformemente al meccanismo di coerenza di cui all’art. 63, anche tenuto conto dei casi di trasferimento dei dati personali verso paesi extra-Ue per i quali le stesse autorità possono prevedere clausole tipo per la protezione dei dati approvate dalla Commissione europea secondo la procedura di cui all’art. 93.2.