Luciano Delli Veneri e Gloria Marcoccio
26 Agosto 2013
Il 25 agosto 2013 è entrato in vigore in tutti gli Stati Membri EU il regolamento n.611/20131 della Commissione Europea in materia di notifica di violazioni dati personali (data breach) nel contesto delle prescrizioni previste dalla direttiva europea 2002/58/CE2 come modificata dalla direttiva 2009/136/CE3.
Per quanto concerne l’Italia, il Regolamento interviene nello stesso contesto del Provvedimento del 4 Aprile 2013 del Garante per la protezione dei dati personali, comportando la (si auspica) prossima revisione del Provvedimento stesso, laddove esistano disallineamenti tra i due atti: ciò allo scopo di evitare confusioni e difficoltà interpretative tra gli operatori del settore dei servizi di comunicazione elettronica accessibili al pubblico, soprattutto per quanto riguarda le tempistiche delle notifiche e le misure tecniche ai fini dell’intelligibilità dei dati. A tal riguardo occorre infatti tenere presente che gli atti normativi a livello EU, come appunto i Regolamenti, hanno totale precedenza su quelli nazionali.
La scelta della Commissione di utilizzare tale strumento normativo è da ricercare nella chiara esigenza di rendere uniforme a livello Comunitario le modalità di gestione della data breach utilizzando uno strumento in grado di avere immediata efficacia normativa in tutti gli Stati Membri. In tale ottica il Regolamento ha come obbiettivo principale quello di schematizzare il processo che i fornitori di servizi di comunicazione elettronica, nel seguito semplicemente “Provider”, devono adottare ed applicare per essere in linea con le prescrizioni in tema di “data breach”. In particolare viene stressato il vincolo della “tempestività” della notifica della violazione alla competente Autorità nazionale, notifica che deve essere effettuata entro “24 ore” dalla rilevazione della violazione: il punto è di estremo interesse perché è di tutta evidenza la complessità sottesa da un simile adempimento che richiede vengano adottate, come indicato nel considerando 6) “le misure necessarie per evitare che vi siano troppe o troppo poche violazioni di dati personali segnalate”. Il regolamento prescrive al Provider di implementare non solo misure di sicurezza atte a ridurre i rischi ma a sviluppare un contesto di consapevolezza complessivo, definendo e attuando modelli organizzativi adeguati. Spetta infatti comunque al Provider l’assegnazione, ad un certo evento, della etichetta di “violazione” (vedi Considerando 8) e la terza alinea dell’art. 2 c. 2), che deve necessariamente essere correlata ad un processo di rilevazione e valutazione degli eventi che coniughi la necessaria tempestività con l’affidabilità dell’indagine. Proprio tale processo permetterà al Provider di fornire all’Autorità nazionale di controllo le informazioni richieste dall’allegato 1 al Regolamento nei tempi prescritti (entro 24 ore la comunicazione all’Autorità, laddove impossibile fornire in questi tempi tutte le informazioni previste, è ammesso il completamento della comunicazione entro i successivi 3 giorni salvo giustificate motivazioni, con la completa descrizione dell’evento, delle sue cause e delle misure adottate per evitare il ripetersi).
Prima di concentrarci sull’oggetto del presente scritto si ritiene opportuno evidenziare alcuni aspetti del Regolamento dei quali dovrà chiarirsi la portata. Ci riferiamo in particolare al tema dell’applicabilità del Regolamento laddove, vedi Considerando 2) e art.2 c.4, non risulta immediatamente manifesto se applicabile solo ai Provider “established” in EU e non anche a tutti quelli che, pur offrendo servizi di comunicazione elettronica accessibili nell’Unione utilizzando soluzioni innovative, non hanno “necessità” di risiedere in uno dei paesi della EU. Analogamente il tema della “tempestività” (undue delay, per la prevista comunicazione di data breach verso gli interessati) della notificazione richiederebbe approfondimenti, anche avendo a riferimento quanto previsto sia dalla Direttiva 2002/58/EU, come integrata dalla 2009/136/EU: proprio quest’ultima nel Considerando 61 esplicita il concetto della notifica prevedendo che “il fornitore di servizi di comunicazione elettronica accessibili al pubblico, non appena viene a conoscenza del fatto che si è verificata tale violazione, dovrebbe notificarla all’autorità nazionale competente” mentre, con riferimento agli abbonati ed alle altre persone, questi “siano informati tempestivamente per permettere loro di adottare le precauzioni necessarie”, salvo la previsione del considerando 13) e dell’art. 3 c. 5 che prevede la possibilità di ritardare la notificazione quando ciò possa “mettere a rischio il corretto svolgimento dell’indagine sulla violazione di dati personali”. Analogamente sarebbe opportuno approfondire gli aspetti di “protezione dei dati” andando a coordinare quanto contenuto nel considerando 17, che apparentemente sembra porre dubbi sulla reale efficacia di forme di crittazione dei dati, o quantomeno sottolinea come questi strumenti, da soli, non garantiscano una sicura e completa protezione, ed il dettato dell’art. 4 del Regolamento che al contrario assegna notevole peso a tali metodologie chiarendo univocamente se, una volta adottate tecniche che rendono i dati personali inintelligibili, questa circostanza metta il Provider nella condizione di non essere più obbligato ad effettuare anche la notificazione, salvo situazioni particolari, all’abbonato e/o all’altra persona. Questo punto è di notevole rilievo se solo si pensa all’impatto che l’obbligo di notificazione di cui all’art. 3 del Regolamento può avere sull’immagine del Provider/Titolare del trattamento. In tale ottica è fondamentale per il Provider che l’impiego di soluzioni di protezioni dei dati come indicate dall’art. 4 abbiano davvero l’efficacia di evitare l’obbligo di notificare eventuali data breach agli abbonati/altra persona poiché solo in tal guisa avrebbero senso gli investimenti richiesti i quali risponderebbero non solo all’esigenza di sicurezza dei dati ma costituirebbero anche una garanzia di salvaguardia dell’immagine del Provider. Peraltro quest’ultimo aspetto, se e quando entrerà in vigore il regolamento sul trattamento dei dati personali destinato a sostituire la Direttiva 95/46/CE, interesserà tutti i “Titolari del trattamento” e non solo i Provider di servizi di comunicazione elettronica accessibili al pubblico.
Ritornando all’oggetto specifico del presente scritto l’aspetto centrale sul quale si vuole porre l’accento è l’obbligo prescritto dell’art. 3 c. 1 del Regolamento 611/2013 nel caso in cui la violazione di dati personali pregiudichi “i dati personali o la vita privata di un abbonato o di altra persona,[prevede] in aggiunta alla notifica di cui all’articolo 2 [che] il fornitore comunica l’avvenuta violazione anche all’abbonato o all’altra persona”. In particolare la previsione di un obbligo di notifica della violazione anche ad “altra persona”, ossia a soggetti con i quali, come richiamato dal Regolamento, il Provider non ha rapporti diretti, solleva non pochi dubbi proprio in relazione al trattamento dei dati personali. Infatti avendo a riferimento le caratteristiche proprie di alcuni dei servizi di comunicazione elettronica, è ben noto come il Provider non è sempre nelle condizioni di poter veicolare con ragionevole semplicità, ma anche certezza dell’efficacia, una qualsiasi comunicazione verso questi ultimi (l’altra persona) poiché, nei fatti, potrebbe non avere riferimenti o informazioni di contatto. Peraltro proprio la normativa sulla protezione dei dati personali ha come capisaldi i principi di necessità e pertinenza in base ai quali il “Titolare del trattamento” non deve/può raccogliere dati eccedenti quelli indispensabili al perseguimento delle finalità previste dal trattamento. Alla luce delle prescrizioni del Regolamento, invece, il Provider dovrà, per ottemperare all’obbligo di notifica anche nei confronti dell’altra persona, dare corso ad un trattamento di dati personali in modo da poter effettuare la prescritta notifica della data breach: questo naturalmente comporterà costi aggiuntivi poiché il Provider dovrà sicuramente implementare sistemi, processi e procedure in grado di far fronte ad una tempistica estremamente compressa. Non è da escludere, nei fatti, che il Provider debba costituire una specifica banca dati alimentata con la raccolta di dati personali che altrimenti non sarebbero oggetto di trattamento se non nella fase strettamente connessa alla fornitura del servizio e questa evenienza si scontra con le indicazioni che sia il Garante italiano4 che quello comunitario ed il Gruppo Art295, hanno da sempre sostenuto in ordine all’applicazione dei principi di necessità/minimizzazione, pertinenza e non eccedenza. Il Provider quindi viene a trovarsi nella condizione di poter/dover trattare i dati personali dell’altra persona (coloro che risultano essere coinvolti dalla data breach rilevata) senza alcun consenso dell’interessato a tale trattamento, legittimato ope legis, proprio per dare attuazione alle prescrizioni contenute, da ultimo, nel Regolamento 611/2013 emanato dalla Commissione: è chiaro però che in tal modo il Provider sarà costretto ad un extra impegno dovendo reperire i dati personali necessari per contattare “l’altra persona” (l’interessato/i) e trattarli/preservarli come richiesto dalla normativa applicabile per un tempo e con costi che non sono facilmente ipotizzabili a priori; nel contempo, pur legittimato al trattamento appunto dall’obbligo di legge, dovrà prestare la massima attenzione nel mantenere il proprio operato in linea con i già richiamati principi di necessità/minimizzazione, pertinenza e non eccedenza nel trattare i dati in oggetto. Nei fatti accadrà che l’altra persona potrà essere destinataria di una comunicazione di data breach da parte di un Provider/Titolare del trattamento a lui del tutto sconosciuto o con il quale non ha, ovvero non è a conoscenza di avere, alcun tipo di relazione “operativa”. Non va taciuta un’ultima complessità che si aggiunge al quadro integrale come sin qui prospettato, e che è riferibile all’esercizio del diritto di accesso (ex art. 7 del D. lgs. 196/03) ai dati personali da parte dell’altra persona che, proprio in virtù della raccolta resa necessaria dall’applicazione delle prescrizioni del Regolamento in parola, crea un’ulteriore onere in capo al Provider il quale deve quindi predisporre quanto necessario per poter dare seguito alle richieste nel rispetto dei tempi prescritti dalla normativa applicabile (15 giorni ex art. 146 del D. lgs. 196/03) dovendo affrontare il tema della verifica della legittimazione dell’interessato, ex art. 9 c. 4 del D. lgs. 196/03, non potendo fare affidamento su elementi di identificazione certi. È anche il caso di sottolineare come la previsione contenuta nell’art. 5 del Regolamento crei un ulteriore zona grigia laddove prescrive che sia sempre il Provider a dover notificare anche quando la data breach abbia interessato le operatività ed i sistemi di un suo Fornitore potendo costituire un ulteriore complicazione per il rispetto della normativa in oggetto.
Venendo poi alle possibili soluzioni alternative alla notifica individuale all’altra persona, indicate nel Regolamento, è di tutta evidenza che anche la prospettazione della pubblicazione di “avvisi” relativi alla violazione sulle principali testate giornalistiche nazionali e/o locali non risulta di facile esecuzione poiché queste potrebbero, avendo un orizzonte temporale molto ristretto, banalmente non avere spazio disponibile per la loro pubblicazione. Inoltre non va sottaciuto il duplice rischio connesso ad una simile azione: da una parte la comunicazione creerebbe una condizione di allarme generalizzato anche per quanti non dovessero essere comunque coinvolti/interessati dalla violazione e contestualmente questa avrebbe sicuramente un impatto sull’immagine del Provider che, proprio con riguardo ai “Clienti”, potrebbe essere maggiore della reale portata dell’evento concretamente accaduto e oggetto della notifica.
1 REGOLAMENTO (UE) N. 611/2013 DELLA COMMISSIONE del 24 giugno 2013 sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002:0008:IT:PDF
2 DIRETTIVA 2002/58/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:it:PDF
3 DIRETTIVA 2009/136/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:it:PDF
4 Sul tema della raccolta di dati eccedenti le finalità del trattamento si veda ex multis il provvedimento del Garante per la protezione dei dati personali, 29 aprile 2009 “Informazioni commerciali e dati su fallimenti di società” (doc. web nr. 1617609)
5Si veda ex multis la Opinion 168/2009 del Gruppo Art. 29 che al punto 53 relativamente al principio della “Data Minimization” richiede che il Titolare del trattamento deve applicare “the aim of collecting, processing or using no personal data at all or as few personal data as possible”
Scrivi un commento
Accedi per poter inserire un commento