La regola delle 72 ore: come segnalare una violazione dei dati GDPR senza incorrere in ulteriori sanzioni

Una violazione dei dati personali è un incidente di sicurezza che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali in modo accidentale o illegale. Ai sensi degli articoli 33 e 34 del GDPR, il modo in cui la sua organizzazione risponde ad una violazione può essere conseguente quanto la violazione stessa. Una notifica tardiva o inadeguata viene trattata come una violazione separata, che spesso comporta una propria sanzione.

Capire la tempistica delle 72 ore

L'articolo 33, paragrafo 1, prevede che il responsabile del trattamento notifichi all'autorità di vigilanza competente senza ritardi ingiustificati e, ove possibile, entro 72 ore dal momento in cui viene a conoscenza di una violazione dei dati personali. L'orologio parte non quando si verifica la violazione, ma quando l'organizzazione ne viene a conoscenza. Questa distinzione è importante: una violazione che si è verificata settimane fa, ma che è stata scoperta solo oggi, fa scattare l'obbligo delle 72 ore dal momento della scoperta.

Se la notifica non viene effettuata entro 72 ore, il responsabile del trattamento deve motivare il ritardo. Le autorità di vigilanza hanno mostrato una tolleranza limitata per i ritardi non comprovati. La DPA olandese (Autoriteit Persoonsgegevens) ha imposto multe specificamente per la notifica tardiva, trattandola come una violazione distinta ai sensi dell'Articolo 83(4)(a).

Che cosa costituisce una violazione segnalabile?

Non tutti gli incidenti di sicurezza richiedono la notifica all'autorità di vigilanza. L'Articolo 33(1) qualifica l'obbligo: la notifica è necessaria a meno che non sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche. Questa soglia basata sul rischio significa che deve valutare ogni violazione individualmente.

Le Linee guida EDPB 01/2021 sugli esempi di notifica delle violazioni dei dati personali forniscono un'utile tassonomia degli scenari notificabili e non notificabili:

Probabilmente è segnalabile:

• Attacco ransomware che cripta le cartelle cliniche dei pazienti in un ospedale
• Accesso non autorizzato a un database clienti contenente informazioni finanziarie
• Un'e-mail errata contenente i dati salariali dei dipendenti inviata a un destinatario esterno
• Il portatile rubato conteneva dati personali non criptati
• L'esfiltrazione di dati personali da parte di un insider malintenzionato

Probabilmente non è segnalabile:

• Un computer portatile criptato perso o rubato, dove la chiave di crittografia non è stata compromessa.
• Una breve interruzione di corrente che provoca l'inaccessibilità temporanea dei dati, senza perdita permanente.
• Email interne errate in cui il destinatario è vincolato da obblighi di riservatezza e conferma l'eliminazione.

In caso di dubbio, è meglio optare per la notifica. Le autorità di vigilanza sono molto più comprensive nei confronti delle organizzazioni che segnalano una violazione che si rivela a basso rischio, rispetto a quelle che omettono di segnalare una violazione che in seguito si rivela significativa.

Requisiti del contenuto della notifica

L'articolo 33, paragrafo 3, specifica le informazioni minime che devono essere incluse in una notifica dell'autorità di vigilanza:

1. Una descrizione della natura della violazione, comprese, ove possibile, le categorie e il numero approssimativo di soggetti interessati e le categorie e il numero approssimativo di record di dati personali interessati.
2. Il nome e i dettagli di contatto del responsabile della protezione dei dati o di un altro punto di contatto.
3. Una descrizione delle probabili conseguenze della violazione.
4. Una descrizione delle misure adottate o proposte per affrontare la violazione, comprese, se del caso, le misure per mitigare i possibili effetti negativi.

Qualora non sia possibile fornire tutte le informazioni contemporaneamente, le informazioni possono essere fornite per fasi (Articolo 33, paragrafo 4). Molte autorità di vigilanza accettano una notifica iniziale seguita da rapporti supplementari man mano che l'indagine procede.

Quando devono essere informati i soggetti interessati?

L'articolo 34 impone un ulteriore obbligo di notifica diretta alle persone interessate, quando è probabile che la violazione comporti un rischio elevato per i loro diritti e libertà. La soglia è più alta rispetto alla notifica dell'autorità di vigilanza: rischio elevato piuttosto che semplice rischio.

La comunicazione agli interessati deve essere in un linguaggio chiaro e semplice e deve descrivere la natura della violazione, i dettagli di contatto del DPO, le probabili conseguenze e le misure adottate per affrontare la violazione. La notifica diretta non è richiesta quando:

• Il responsabile del trattamento ha implementato misure tecniche adeguate (come la crittografia) che rendono i dati incomprensibili a persone non autorizzate.
• Il responsabile del trattamento ha adottato misure successive per garantire che il rischio elevato non si concretizzi più.
• La notifica individuale comporterebbe uno sforzo sproporzionato, nel qual caso è consentita una comunicazione pubblica o una misura simile.

Costruire la sua capacità di risposta alle violazioni

Una risposta efficace alle violazioni non si improvvisa. Richiede preparazione, documentazione e test regolari. Il seguente schema aiuterà la sua organizzazione a rispondere in modo efficace quando si verifica una violazione:

Passo 1: Rilevamento ed escalation

Implementare i controlli tecnici (rilevamento delle intrusioni, monitoraggio dei log, rilevamento degli endpoint) e stabilire chiari percorsi di escalation. Ogni dipendente deve sapere come segnalare internamente una sospetta violazione. Definisca un team di risposta alle violazioni con rappresentanti dell'IT, dell'ufficio legale, delle comunicazioni e dell'alta direzione.

Passo 2: Valutazione iniziale

Entro poche ore dal rilevamento, valutare la natura e la portata della violazione. Determinare quali dati sono stati colpiti, quante persone sono coinvolte, se la violazione è in corso e il probabile impatto. Questa valutazione guida le sue decisioni di notifica.

Passo 3: contenimento

Adottare misure immediate per contenere la violazione. Ciò può includere l'isolamento dei sistemi interessati, la revoca delle credenziali compromesse, il blocco degli indirizzi IP dannosi o l'attivazione di sistemi di backup. Documenta tutte le azioni di contenimento e la loro tempistica.

Passo 4: notifica

In base alla valutazione del rischio, prepari e invii la notifica all'autorità di vigilanza entro 72 ore. Se la violazione fa scattare l'Articolo 34, prepari parallelamente le comunicazioni agli interessati. Utilizzi dei modelli predefiniti per accelerare questo processo.

Fase 5: Indagine e riparazione

Conduca un'analisi approfondita della causa principale. Identificare la vulnerabilità che è stata sfruttata, i controlli che hanno fallito e le misure necessarie per evitare che si ripeta. Documentare i risultati e implementare tempestivamente le azioni di rimedio.

Passo 6: Revisione post-infortunio

Dopo la risposta immediata, conduca una revisione formale post-incidente con tutte le parti interessate. Aggiornare le procedure di risposta alla violazione in base alle lezioni apprese. Presentare il rapporto finale all'autorità di vigilanza entro i termini richiesti.

Errori comuni da evitare

• Non riesce a riconoscere un incidente di sicurezza come una violazione dei dati personali.
• Attende il completamento dell'indagine prima di informare l'autorità di vigilanza.
• Fornisce informazioni incomplete o imprecise nella notifica iniziale.
• Trascura di documentare le violazioni valutate come a basso rischio (l'articolo 33, paragrafo 5, richiede un registro delle violazioni per tutte le violazioni).
• Sottovalutare il rischio per gli interessati per evitare gli obblighi di notifica
• Mancata notifica agli interessati quando viene raggiunta la soglia di alto rischio ai sensi dell'Articolo 34.

La finestra di notifica di 72 ore è stretta, ma le organizzazioni che si preparano in anticipo (con procedure documentate, modelli di notifica e un team di risposta alla violazione addestrato) possono soddisfare questo obbligo in modo coerente. Il costo della preparazione è trascurabile rispetto alle sanzioni e ai danni alla reputazione che seguono una risposta alla violazione mal gestita.