IL GARANTE
PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vice presidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti e del dott. Giuseppe Busia, segretario generale;
Visto il Codice in materia di protezione dei dati personali
(decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice») e,
in particolare, gli articoli 32 e 32-bis;
Vista la precedente deliberazione del Garante recante «Linee guida
in materia di attuazione della disciplina sulla comunicazione delle
violazioni di dati personali» (Del. n. 221 del 26 luglio 2012, nella
Gazzetta Ufficiale n. 183 del 7 agosto 2012);
Tenuto conto delle risultanze dei contributi pervenuti al Garante
dai principali fornitori di servizi di comunicazione elettronica,
nonche' da alcune associazioni di studio e ricerca del settore, che
hanno partecipato alla consultazione pubblica avviata con la
richiamata deliberazione del 26 luglio 2012;
Considerati i primi casi di violazione di dati personali
verificatisi dall'entrata in vigore della nuova disciplina e
comunicati al Garante dai fornitori in ottemperanza a quanto previsto
dall'art. 32-bis, comma 1, del Codice;
Ritenuto necessario adottare, ai sensi dell'art. 32-bis, comma 6,
del Codice, un provvedimento generale - che sostituisce le suindicate
Linee guida - al fine di fornire orientamenti e istruzioni in
relazione alle circostanze in cui il fornitore ha l'obbligo di
comunicare le violazioni di dati personali, al formato applicabile a
tale comunicazione, nonche' alle relative modalita' di effettuazione;
Viste le osservazioni dell'Ufficio, formulate dal segretario
generale ai sensi dell'art. 15 del regolamento n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
Premessa.
1. Considerazioni preliminari.
La direttiva 2002/58/Ce (c.d. direttiva e-Privacy) afferma che i
fornitori di servizi di comunicazione elettronica devono adottare
«appropriate misure tecniche e organizzative» per assicurare «un
livello di sicurezza adeguato al rischio esistente» (art. 4, comma
1). Nella direttiva 2009/136/Ce (che ha modificato la direttiva
2002/58/Ce) si e' tenuto conto, in particolare, del fatto che un
evento che coinvolga i dati personali, se non trattato in modo
adeguato e tempestivo, puo' provocare un grave danno economico e
sociale al contraente (o alle altre persone interessate), tra cui
l'usurpazione d'identita' (cfr. considerando 61).
Con il recepimento delle suindicate previsioni tramite il decreto
legislativo 28 maggio 2012, n. 69, con il quale il Governo ha dato
attuazione alla delega prevista nell'art. 9 della legge comunitaria
del 2010 (legge 15 dicembre 2011, n. 217, pubblicata nella Gazzetta
Ufficiale 2 gennaio 2012, n. 1), i fornitori di servizi di
comunicazione elettronica sono oggi tenuti a comunicare senza
indebiti ritardi al Garante e, in alcuni casi, al contraente o ad
altre persone interessate, l'occorrenza dei predetti eventi,
qualificati come «violazioni di dati personali».
2. Quadro normativo.
Come sopra accennato, il decreto legislativo 28 maggio 2012, n. 69,
ha apportato significative e numerose modifiche al Codice,
introducendo, per quanto di specifico interesse, la nuova disciplina
concernente la gestione delle suindicate violazioni di sicurezza nel
settore delle comunicazioni elettroniche.
E' stata cosi' introdotta la definizione di «violazione di dati
personali», intesa come la «violazione della sicurezza che comporta
anche accidentalmente la distruzione, la perdita, la modifica, la
rivelazione non autorizzata o l'accesso ai dati personali trasmessi,
memorizzati o comunque elaborati nel contesto della fornitura di un
servizio di comunicazione accessibile al pubblico» (art. 4, comma 3,
lettera g-bis), del Codice).
Si tratta di una definizione da un lato molto ampia, in quanto
comprende qualunque evento metta a rischio, anche in maniera del
tutto accidentale, i dati trattati nell'ambito dei servizi di
comunicazione elettronica, e dall'altro volta a delimitare il
contesto (quello, appunto, dei servizi di comunicazione elettronica
accessibili al pubblico), nonche' l'ambito soggettivo (quello dei
fornitori di tali servizi), nel quale opera la nuova disciplina.
In quest'ottica vanno lette anche le modifiche all'art. 32 del
Codice, ora espressamente rubricato «Obblighi relativi ai fornitori
di servizi di comunicazione elettronica accessibili al pubblico» e
che impone al fornitore di adottare, anche attraverso altri soggetti
cui sia affidata l'erogazione del servizio, «misure tecniche e
organizzative adeguate al rischio esistente, per salvaguardare la
sicurezza dei suoi servizi e per gli adempimenti di cui all'art.
32-bis».
Il legislatore comunitario e' peraltro consapevole del fatto che
l'interesse degli utenti ad essere informati sulle violazioni di
sicurezza che coinvolgono i loro dati personali non si limita al
settore delle comunicazioni elettroniche. Ed infatti, le proposte di
riforma della legislazione comunitaria in materia di protezione dei
dati (cfr. schema di Regolamento presentato dalla Commissione europea
il 25 gennaio 2012, attualmente all'esame del Parlamento e del
Consiglio) prevedono un'estensione generalizzata dell'obbligo di
notifica delle violazioni dei dati personali a tutti i titolari
pubblici e privati (v. anche considerando 59, direttiva 2009/136/Ce).
In alcuni Stati membri del resto sono gia' in vigore disposizioni
che prevedono una platea piu' ampia di soggetti che effettuano tale
notifica (es. in Irlanda); in tal senso, peraltro, si e' espresso
anche il Gruppo dei Garanti europei (c.d. «Gruppo Art. 29») nel
documento n. 01/2011, adottato il 5 aprile 2011.
L'art. 32-bis citato introduce poi nel Codice la disciplina degli
«Adempimenti conseguenti ad una violazione di dati personali» e
sancisce l'obbligo, per i fornitori di servizi di comunicazione
elettronica accessibili al pubblico, di comunicare senza indebiti
ritardi al Garante la violazione di dati personali da essi detenuti.
Nei casi in cui dalla violazione possa derivare pregiudizio ai dati
personali o alla riservatezza di un contraente o di altra persona, il
fornitore dovra' comunicare l'avvenuta violazione anche a tali
soggetti (art. 32-bis, comma 2).
Tale seconda comunicazione - ferma restando la difficolta', sulla
quale si tornera' in seguito, di delimitare i casi nei quali la
violazione possa arrecare pregiudizio al contraente o ad altre
persone interessate, potendo tale rischio dirsi in astratto sempre
sussistente - non e' dovuta se il fornitore ha dimostrato al Garante
di aver utilizzato misure «che rendono i dati inintelligibili a
chiunque non sia autorizzato ad accedervi e che tali misure erano
state applicate al momento della violazione» (art. 32-bis, comma 3).
Il Garante, considerate le presumibili ripercussioni negative della
violazione, puo' comunque obbligare il fornitore ad effettuare la
predetta comunicazione, ove lo stesso non vi abbia gia' provveduto
(comma 4).
3. Ambito soggettivo.
Come si e' gia' accennato, la nuova disciplina concernente gli
obblighi di comunicazione al Garante e alle persone interessate non
riguarda la totalita' dei titolari dei trattamenti, ossia dei
soggetti, pubblici o privati, che detengono e trattano dati personali
in funzione della propria attivita'.
I nuovi adempimenti gravano, infatti, esclusivamente sui fornitori
di servizi di comunicazione elettronica accessibili al pubblico (di
seguito, «fornitori») e, quindi, su quei soggetti che mettono a
disposizione del pubblico, su reti pubbliche di comunicazione,
servizi consistenti, esclusivamente o prevalentemente, «nella
trasmissione di segnali su reti di comunicazioni elettroniche» (art.
4, comma 2, lettere d) ed e), del Codice).
I medesimi adempimenti sono inoltre connessi alla particolare
attivita' di fornitura dei predetti servizi, quale ad esempio il
servizio telefonico o quello di accesso a Internet. Cio' significa
che se la violazione riguarda una banca dati del fornitore che non
attiene in maniera specifica al servizio offerto dallo stesso, ma ad
una qualunque delle altre attivita' che svolge, ad esempio alla
gestione del personale o alla contabilita', l'obbligo di
comunicazione non vige.
Al riguardo, anche al fine di individuare i soggetti interessati
dalla nuova disciplina, si rinvia alle indicazioni fornite dal
Garante con il provvedimento relativo alla «Sicurezza dei dati di
traffico telefonico e telematico» (provv. del 17 gennaio 2008,
pubblicato nella Gazzetta Ufficiale n. 30 del 5 febbraio 2008, come
modificato e integrato dal provvedimento del 24 luglio 2008,
pubblicato nella Gazzetta Ufficiale n. 189 del 13 agosto 2008), in
quanto vi e' una sostanziale identita' dei titolari tenuti alla
conservazione ex art. 132 del Codice, nonche' all'adozione delle
misure ivi prescritte con i destinatari della nuova disciplina ex
art. 32-bis.
In tale provvedimento, infatti, e' stato evidenziato che «fornitori
di servizi di comunicazione elettronica accessibili al pubblico» sono
quei soggetti che realizzano esclusivamente, o prevalentemente, una
trasmissione di segnali su reti di comunicazioni elettroniche, a
prescindere dall'assetto proprietario della rete, e che offrono
servizi a utenti finali secondo il principio di non discriminazione
(cfr. anche direttiva 2002/21/Ce del Parlamento europeo e del
Consiglio, che istituisce un quadro normativo comune per le reti e i
servizi di comunicazione elettronica - c.d. direttiva quadro - e
decreto legislativo n. 259/2003 recante il Codice delle comunicazioni
elettroniche).
Al contrario non rientrano tra tali soggetti:
coloro che offrono direttamente servizi di comunicazione
elettronica a gruppi delimitati di persone (come, a titolo
esemplificativo, i soggetti pubblici o privati che consentono
soltanto a propri dipendenti e collaboratori di effettuare
comunicazioni telefoniche o telematiche). Tali servizi, pur
rientrando nella definizione generale di «servizi di comunicazione
elettronica», non possono essere infatti considerati come
«accessibili al pubblico»;
i titolari e i gestori di esercizi pubblici o di circoli privati
di qualsiasi specie che si limitino a porre a disposizione del
pubblico, di clienti o soci apparecchi terminali utilizzabili per le
comunicazioni, anche telematiche, ovvero punti di accesso a Internet
utilizzando tecnologia senza fili, esclusi i telefoni pubblici a
pagamento abilitati esclusivamente alla telefonia vocale;
i gestori dei siti Internet che diffondono contenuti sulla rete
(c.d. «content provider»). Essi non sono, infatti, fornitori di un
«servizio di comunicazione elettronica» come definito dall'art. 4,
comma 2, lettera e) del Codice. Tale norma, infatti, nel rinviare,
per i casi di esclusione, all'art. 2, lettera c) della direttiva
2002/21/Ce cit., esclude essa stessa i «servizi che forniscono
contenuti trasmessi utilizzando reti e servizi di comunicazione
elettronica [...]». Qualora tali soggetti offrano anche il servizio
di posta elettronica, limitatamente alla gestione dei dati personali
relativi allo stesso, rientrano viceversa nel campo di applicazione
della nuova disciplina;
i gestori di motori di ricerca, salvo l'eventuale componente di
trasmissione dati.
Discorso a parte va fatto per i servizi di Mobile Payment
eventualmente offerti dal fornitore ai propri utenti. Si tratta di
servizi che consentono di effettuare pagamenti o trasferimenti di
denaro tramite telefono mobile, che molti fornitori stanno
implementando a seguito del recepimento della direttiva n. 2007/64/Ce
(la c.d. PSD, «Payment Service Directive») ad opera del decreto
legislativo 27 gennaio 2010, n. 11.
Piu' specificamente, il pagamento del bene o servizio acquistato
avviene o mediante carta di credito su disposizione inviata per il
tramite del telefono mobile in presenza di apposito lettore POS (c.d.
modalita' «proximity»), oppure con addebito e conseguente
decurtazione del costo dal credito telefonico, per i clienti dotati
di una carta ricaricabile, e con addebito sul conto telefonico, per i
clienti in abbonamento (c.d. modalita' «remote»).
In quest'ultimo caso, i dati di pagamento dei clienti sono
strettamente connessi a quelli di traffico telefonico degli stessi;
si ritiene pertanto che anche per le violazioni riguardanti tali
servizi il fornitore sia tenuto agli obblighi di cui all'art. 32-bis
del Codice.
3.1. Servizi erogati tramite altri soggetti.
La nuova normativa prende espressamente in considerazione l'ipotesi
in cui il fornitore affidi l'erogazione del servizio di comunicazione
elettronica ad altri soggetti. In particolare, l'art. 32-bis, comma
8, prevede che, in questi casi, i soggetti esterni affidatari
dell'erogazione del servizio siano tenuti a comunicare «senza
indebito ritardo al fornitore tutti gli eventi e le informazioni
necessarie a consentire a quest'ultimo di effettuare gli adempimenti»
in materia di violazione dei dati personali.
Si tratta di una disposizione che riguarda la particolare
situazione che vede coinvolti i fornitori di comunicazione
elettronica «tradizionali» e, ad esempio, i c.d. operatori virtuali
di rete mobile (Mobile Virtual Network Operator, MVNO), ossia le
societa' che forniscono servizi di telefonia mobile senza possedere
alcuna licenza per il relativo spettro radio ne' tutte le
infrastrutture necessarie per fornire tali servizi e che utilizzano a
tale scopo una parte dell'infrastruttura di uno o piu' operatori
mobili reali (MNO).
I MVNO sono dotati di archi di numerazione telefonica propri e
quindi di proprie SIM card, possono gestire in proprio le funzioni di
commutazione e di trasporto nonche' la base dati di registrazione
degli utenti mobili. Sono, quindi, completamente autonomi nella
relazione con i clienti, i quali non hanno alcun rapporto diretto con
l'operatore di rete mobile e stipulano un unico contratto, appunto,
con il MVNO.
Da cio' emerge, pertanto, come gli obblighi di comunicazione
derivanti da eventuali violazioni di dati personali dei clienti (o di
altre persone interessate) incombano sul MVNO, l'unico a conoscere,
nella maggior parte dei casi, l'identita' dei clienti stessi. E
tuttavia, in ragione del fatto che, come detto, il servizio viene
materialmente erogato congiuntamente con il MNO e che, quindi,
possono essere coinvolti sistemi dei quali dispone soltanto
quest'ultimo, e' necessario che tale soggetto renda noti tutti gli
eventi e le informazioni concernenti l'avvenuta violazione
all'operatore virtuale, in modo tale che questo possa adempiere ai
propri obblighi nei confronti del Garante e, eventualmente, dei
clienti.
Al riguardo, si rinvia alle definizioni contenute nella Delibera
dell'Autorita' per le garanzie nelle comunicazioni n.544/00/CONS,
«Condizioni regolamentari relative all'ingresso di nuovi operatori
nel mercato dei sistemi radiomobili» (pubblicata nella Gazzetta
Ufficiale n. 183 del 7 agosto 2000).
Un altro caso rientrante nella previsione di cui al comma 8 e'
quello nel quale il fornitore del servizio di comunicazione
elettronica, pur potendosi definire «tradizionale», affidi in tutto o
in parte la materiale erogazione del servizio stesso a soggetti
terzi, che abbiano le infrastrutture a cio' necessarie, ad esempio
per ragioni di ottimizzazione dei costi.
Ferma restando la necessita' che in tali ipotesi i soggetti
coinvolti configurino correttamente i rispettivi ruoli in termini di
titolare e responsabile del trattamento, l'eventuale violazione dei
dati personali trattati nell'ambito dei sistemi affidati dal
fornitore al soggetto terzo, dovra' essere da questo necessariamente
comunicata al fornitore stesso entro 24 ore dall'avvenuta conoscenza
della violazione, il quale potra' poi comunicare a sua volta la
violazione al Garante e, se occorre, al contraente o ad altra persona
interessata, come riportato al punto 5.
4. Gestione della sicurezza e delle violazioni.
L'art. 32 del Codice (come modificato dal decreto legislativo n.
69/2012 in attuazione di quanto previsto dall'art. 4 della direttiva
2002/58/Ce) prevede che i soggetti che operano sulle reti di
comunicazione elettronica debbano garantire «che i dati personali
siano accessibili soltanto al personale autorizzato per fini
legalmente autorizzati» (cfr. comma 1-bis) e che le misure tecniche e
organizzative, che il fornitore di comunicazione elettronica deve
adottare, siano adeguate al rischio esistente, garantiscano la
protezione dei dati archiviati o trasmessi da una serie di eventi
espressamente indicati (distruzione, perdita, alterazione, anche
accidentali, archiviazione, trattamento, accesso o divulgazione non
autorizzati o illeciti) e assicurino l'attuazione di una «politica di
sicurezza» (cfr. comma 1-ter).
Il nuovo art. 32, comma 3, infine, impone al fornitore di informare
i contraenti, il Garante, l'Agcom e, ove possibile, gli utenti,
dell'esistenza di «un particolare rischio di violazione della
sicurezza della rete», indicando, quando il rischio e' al di fuori
dell'ambito di applicazione delle suindicate misure, tutti i
possibili rimedi e i relativi costi presumibili.
Tali previsioni indicano chiaramente come i fornitori siano tenuti
ad organizzarsi al proprio interno al fine di garantire un elevato
livello di sicurezza dei dati detenuti e gestire in maniera
strutturata e tramite procedure e interventi definiti a priori, le
eventuali violazioni di dati personali che dovessero accadere.
Come dichiarato anche dall'ENISA nelle sue recenti Raccomandazioni
(disponibili all'indirizzo
http://www.enisa.europa.eu/activities/identity-and-trust/risks-and-da
ta-breaches/dbn/art4_tech), la gestione del rischio, in primo luogo,
e delle violazioni di dati personali, qualora dovessero verificarsi,
non puo' essere affidata dai fornitori a un'attivita' estemporanea.
Essa richiede la predisposizione di un idoneo piano, nel quale dovra'
essere individuata una serie di misure tecniche e organizzative di
livello commisurato al tipo di minaccia, in grado di garantire
risposte tempestive, efficaci e adeguate all'entita' della
violazione.
Quanto all'individuazione delle misure minime di sicurezza
propriamente dette - ossia quelle alle quali la legge riconduce
sanzioni di carattere anche penale ex art. 169 del Codice - si
richiama l'art. 33 del Codice e le specifiche previsioni contenute
nel Disciplinare tecnico in materia di misure minime di sicurezza, di
cui all'Allegato B (in particolare quelle relative ai trattamenti
svolti con strumenti elettronici), la cui adozione e' peraltro
obbligatoria per qualunque titolare del trattamento.
4.1. Analisi dei rischi.
Al fine di ottemperare agli obblighi di cui all'art. 32 del Codice,
e' necessario che i fornitori effettuino una preliminare ricognizione
dell'insieme dei dati personali trattati e dei rischi ai quali gli
stessi vanno incontro.
E' necessario, quindi, che ciascun fornitore identifichi e
attribuisca un valore ai differenti dati personali che detiene e ai
pericoli cui gli stessi sono esposti, individuando la propria soglia
di accettazione dei rischi e fissando le opportune strategie di
gestione. Il fornitore e' anche tenuto a individuare delle soglie di
rischio, ad esempio in base a livello basso, medio e alto, in ragione
delle quali decidere non solo quali misure adottare per garantire
un'idonea protezione dei dati detenuti, ma anche se effettuare la
comunicazione al contraente o alle altre persone interessate.
Tale preliminare ricognizione consentira' ai fornitori di
predisporre misure di sicurezza volte sia a prevenire i possibili
eventi avversi, sia a intervenire nel momento in cui gli stessi
dovessero comunque -nonostante le misure adottate - verificarsi.
Si tratta di valutazioni sostanzialmente analoghe a quelle che i
fornitori, sino al 10 febbraio 2012, erano tenuti ad effettuare ai
fini della redazione del Documento programmatico sulla sicurezza,
misura minima prevista dalla regola 19 del richiamato Disciplinare
tecnico, abrogata dall'art. 45, comma 1, lettera d), del
decreto-legge 9 febbraio 2012, n. 5 (convertito, con modificazioni,
dalla legge 4 aprile 2012, n. 35).
4.2. Adozione di adeguate misure di sicurezza.
L'analisi dei rischi sopra indicata e' alla base della
predisposizione, da parte dei fornitori, delle misure di sicurezza
«adeguate al rischio esistente», richiamate dal nuovo art. 32, comma
1, del Codice, nonche' dell'individuazione di quelle maggiormente in
grado di porre rimedio alla violazione eventualmente verificatasi, le
quali peraltro debbono essere descritte al Garante nella
comunicazione, come previsto dall'art. 32-bis, comma 5, del Codice.
Si suggeriscono in particolare, le seguenti misure in grado di
garantire un livello minimo comune di sicurezza, che vanno ad
aggiungersi a quelle prescritte con il citato provvedimento relativo
alla «Sicurezza dei dati di traffico telefonico e telematico» del 17
gennaio 2008, nonche' con quello relativo alle «Misure e accorgimenti
prescritti ai titolari dei trattamenti effettuati con strumenti
elettronici relativamente alle attribuzioni delle funzioni di
amministratore di sistema» del 27 novembre 2008 (pubblicato nella
Gazzetta Ufficiale n. 300 del 24 dicembre 2008 e modificato in base
al provvedimento del 25 giugno 2009):
1. rendere i dati trattati immediatamente non disponibili per
ulteriori elaborazioni da parte di sistemi informativi al termine
delle attivita' svolte e nelle quali gli stessi sono coinvolti,
provvedendo alla loro cancellazione o trasformazione in forma anonima
in tempi tecnicamente compatibili con l'esercizio delle relative
procedure informatiche, nei data base e nei sistemi di elaborazione
utilizzati per i trattamenti, nonche' nei sistemi e nei supporti per
la realizzazione di copie di sicurezza (backup e disaster recovery),
anche con il ricorso a tecnologie crittografiche o di
anonimizzazione;
2. porre particolare attenzione ai dispositivi portatili,
predisponendo specifiche misure di sicurezza in grado di mitigare il
rischio connesso alla portabilita' dell'apparato, e di assicurare
agli stessi un livello di sicurezza analogo a quello applicato agli
altri dispositivi informatici, in considerazione del fatto che molto
spesso le violazioni della sicurezza riguardano i dispositivi mobili
utilizzati da dipendenti e collaboratori dei fornitori al di fuori
degli uffici delle aziende.
5. Comunicazione al Garante: tempi e contenuto.
La predisposizione da parte dei fornitori di un idoneo piano di
gestione delle violazioni sulla base di un'accurata analisi dei
rischi e' necessaria per poter adempiere correttamente anche
all'obbligo di comunicazione al Garante previsto dall'art. 32-bis.
Tale disposizione stabilisce infatti che il fornitore debba
comunicare la violazione dei dati personali al Garante «senza
indebiti ritardi», ossia nel momento in cui lo stesso ne viene a
conoscenza.
Stante l'importanza della tempestivita' della comunicazione al
Garante, ma considerando anche la complessita' e il numero dei
sistemi in uso presso i fornitori, nonche' dei dati che detengono, si
ritiene che tali soggetti nelle situazioni piu' articolate possano,
in un primo momento, limitarsi a fornire all'Autorita' sommarie
informazioni in relazione alla violazione verificatasi, purche' cio'
avvenga immediatamente dopo l'avvenuta conoscenza della stessa,
integrando poi la comunicazione in un momento successivo.
Tali sommarie informazioni devono in ogni caso consentire
all'Autorita' di effettuare una prima valutazione dell'entita' della
violazione e quindi, affinche' la comunicazione possa essere
considerata come validamente effettuata, le stesse devono
comprendere:
i dati identificativi del fornitore;
una breve descrizione della violazione;
l'indicazione della data anche presunta della violazione e del
momento della sua scoperta;
l'indicazione del luogo in cui e' avvenuta la violazione dei
dati, specificando altresi' se essa sia avvenuta a seguito di
smarrimento di dispositivi o di supporti portatili;
l'indicazione della natura e della tipologia dei dati anche solo
presumibilmente coinvolti;
una sintetica descrizione dei sistemi di elaborazione o di
memorizzazione dei dati coinvolti, con indicazione della loro
ubicazione.
Si ritengono congrui, quali termini entro i quali provvedere alla
comunicazione, quello di 24 ore dall'avvenuta conoscenza della
violazione per la prima sommaria comunicazione, e quello di 3 giorni
dalla stessa per la comunicazione dettagliata. Per agevolare
l'adempimento, e' stato predisposto un modello di comunicazione da
inviare al Garante, disponibile on line sul sito dell'Autorita' e
idoneo alla raccolta delle informazioni sulla violazione nonche' al
loro successivo trattamento con strumenti informatici da parte del
Garante (Allegato 1).
Quanto al contenuto della comunicazione, l'art. 32-bis, comma 5,
del Codice prevede che essa, oltre alla descrizione della natura
della violazione, all'indicazione dei punti di contatto presso cui
ottenere maggiori informazioni e all'elenco delle misure raccomandate
per attenuare i possibili effetti pregiudizievoli della violazione
(elementi da inserire anche nell'eventuale comunicazione ai soggetti
interessati), descriva le conseguenze della violazione e le misure
proposte o adottate dal fornitore per porvi rimedio.
Laddove la scoperta della violazione non sia stata contestuale al
verificarsi dell'evento, si ritiene necessario che nella suindicata
comunicazione vengano puntualmente indicate le ragioni che non hanno
consentito l'immediata rilevazione dell'evento medesimo e le misure
adottate o che si intende adottare affinche' cio' non si ripeta.
Qualora, all'esito delle verifiche effettuate dal fornitore
successivamente alla prima sommaria comunicazione, non dovessero
emergere ulteriori elementi, il fornitore dovra' comunicare al
Garante le modalita' con le quali ha posto rimedio alla violazione e
le misure adottate per prevenire ulteriori violazioni della medesima
specie.
In sostanza, e' necessario che dalla comunicazione emergano gli
elementi dai quali l'Autorita' possa valutare compiutamente la
gravita' dell'evento verificatosi, anche in ragione del numero dei
soggetti coinvolti e della quantita' e qualita' dei dati colpiti,
l'entita' del danno cagionato e le misure adottate per ridurlo. Cio',
al fine di intervenire con le prescrizioni che si rendessero
necessarie, compresa quella di comunicare l'avvenuta violazione ai
contraenti o alle altre persone interessate.
Parimenti importante, al fine di consentire all'Autorita' di
svolgere eventuali accertamenti, risulta l'indicazione, nella
comunicazione, dei sistemi applicativi colpiti dalla violazione,
nonche' l'ubicazione fisica dei sistemi di elaborazione impiegati nel
trattamento.
L'obbligo di comunicare l'avvenuta violazione al Garante ed
eventualmente al contraente (o ad altra persona interessata)
sussiste, ovviamente, anche qualora l'evento abbia interessato
dispositivi mobili e indipendentemente dal fatto che sugli stessi
siano installati sistemi di protezione dei dati. Anche per tali
dispositivi (come si vedra' nel prosieguo) l'unica ipotesi in cui il
fornitore puo' esimersi dalla comunicazione al contraente (o ad altra
persona interessata) e' quella in cui i dati in essi contenuti o
tramite gli stessi accessibili siano stati resi inintelligibili.
L'Autorita' si riserva di intervenire nuovamente in merito ai tempi
e al contenuto della comunicazione al Garante qualora nell'emanando
Regolamento della Commissione relativo alle misure applicabili alla
comunicazione delle violazioni di dati personali nell'ambito della
Direttiva 2002/58/Ce sulla privacy e le comunicazioni elettroniche
dovesse emergere un differente orientamento al riguardo.
6. Inventario delle violazioni di dati personali.
Al medesimo scopo, quello cioe' di consentire al Garante di
svolgere il proprio compito di controllo sul rispetto, da parte dei
fornitori, delle disposizioni in materia di violazione dei dati
personali, e' finalizzata la previsione relativa alla tenuta di un
inventario aggiornato delle violazioni, di cui all'art. 32-bis, comma
7, del Codice (cfr. anche considerando 58, direttiva 136/2009/Ce).
In tale inventario, i fornitori devono inserire tutte (e soltanto)
le informazioni necessarie a chiarire le circostanze nelle quali si
sono verificate le violazioni, le conseguenze che le stesse hanno
avuto e i provvedimenti adottati per porvi rimedio.
Proprio per consentire il raggiungimento delle finalita' dichiarate
dalla disposizione in questione, e' opportuno che l'inventario tenga
traccia delle varie fasi con le quali il fornitore ha gestito
l'incidente/evento, dalla sua scoperta alla sua
risoluzione/conclusione, ivi comprese le comunicazioni inviate al
Garante e al contraente e/o ad altra persona. In tal modo,
l'inventario potra' costituire per i fornitori anche un valido
strumento per un'analisi statistica delle diverse tipologie di
violazioni che hanno interessato i servizi offerti e per l'adozione
di misure atte a migliorare la politica di sicurezza dell'azienda.
L'inventario, pertanto, dovra' essere continuamente aggiornato dai
fornitori e messo a disposizione del Garante, qualora l'Autorita'
chieda di accedervi. In ogni caso, anche ai fini dell'applicazione
delle sanzioni previste, i fornitori dovranno registrare
nell'inventario il data breach che li ha coinvolti contestualmente
alla comunicazione al Garante indicata al punto 5, avendo cura poi di
inserire tempestivamente gli elementi che dovessero emergere
successivamente, anche all'esito di ulteriori verifiche.
Dovranno, inoltre, essere adottate dal fornitore idonee misure atte
a garantire l'integrita' e l'immodificabilita' delle registrazioni in
esso contenute.
7. Comunicazione al contraente o ad altre persone.
Qualora si verifichi una violazione di dati personali e dalla
stessa possa derivare un pregiudizio ai dati personali o alla
riservatezza di un contraente o di altre persone, ossia dei soggetti
ai quali si riferiscono i dati violati, oltre alla comunicazione al
Garante, i fornitori sono tenuti a comunicare l'avvenuta violazione,
senza ritardo, anche a tali soggetti (art. 32-bis, comma 2, del
Codice). Per il contenuto di tale comunicazione, si rinvia al punto
5.
In questo caso, si ritiene che il fornitore debba procedere alla
suindicata comunicazione non oltre il termine di 3 giorni
dall'avvenuta conoscenza della violazione. Il fornitore potra' poi
scegliere il canale di comunicazione che riterra' piu' idoneo,
tenendo conto di quanto indicato nel successivo punto 7.2.
Anche in ragione delle indicazioni provenienti dalla Commissione,
si ritiene che in circostanze eccezionali, qualora la comunicazione
al contraente o ad altre persone possa pregiudicare lo svolgimento
delle verifiche sul data breach, il Garante possa autorizzare il
fornitore a ritardare la medesima comunicazione per il tempo
strettamente necessario al completamento delle stesse.
La predetta comunicazione non e' dovuta se il fornitore e' in grado
di dimostrare al Garante di aver applicato ai dati oggetto della
violazione misure tecnologiche di protezione che li hanno resi
inintelligibili a chiunque non sia autorizzato ad accedervi (cfr.
art. 32-bis, comma 3, del Codice).
La misura dell'inintelligibilita' dei dati violati non riguarda
naturalmente l'ipotesi in cui la «violazione della sicurezza» (cfr.
art. 4, comma 3, lettera g-bis), del Codice) abbia comportato la
distruzione o la perdita dei dati personali dei contraenti. In tale
evenienza, infatti, la violazione riguarda profili della sicurezza
diversi dalla confidenzialita' dei dati, determinando il venir meno
dell'integrita' e/o della disponibilita' degli stessi da parte degli
interessati, ai quali potrebbe pertanto rendersi necessario
comunicare l'accaduto.
In ogni caso, in ragione dell'entita' del possibile pregiudizio per
gli interessati, devono essere sempre comunicate immediatamente ai
contraenti le violazioni che riguardano le credenziali di
autenticazione (nome utente e password, ancorche' quest'ultima sia
cifrata o sottoposta a funzioni di hashing) o le chiavi di cifratura
utilizzate dai contraenti medesimi.
7.1. Inintelligibilita' dei dati.
A giudizio dell'Autorita', si considerano inintelligibili i dati
che, ad esempio:
a. siano stati cifrati in modo sicuro attraverso un algoritmo
standardizzato, o mediante l'impiego di schemi di cifratura a chiave
simmetrica o pubblica noti in letteratura, purche' la chiave di
decifrazione sia di adeguata lunghezza (espressa in numero di bit),
sia stata predisposta dal titolare una policy per la relativa
custodia, e se essa non sia stata compromessa da violazioni della
sicurezza e sia stata generata in modo da non consentirne la
derivazione con gli strumenti tecnologici disponibili da parte di
soggetti non autorizzati ad accedervi; oppure
b. siano stati sostituiti da un valore di hash calcolato
attraverso una funzione crittografica di hashing a chiave, purche' la
chiave utilizzata per effettuare lo hashing dei dati sia di adeguata
lunghezza (espressa in numero di bit), sia stata predisposta dal
titolare una policy per la relativa custodia, e se essa non sia stata
compromessa da violazioni della sicurezza e sia stata generata in
modo da non consentirne la derivazione con gli strumenti tecnologici
disponibili da parte di soggetti non autorizzati ad accedervi; oppure
c. siano stati resi anonimi con procedure tali da non consentire
la reidentificazione degli interessati cui si riferiscono da parte di
soggetti non legittimati al loro trattamento, anche mediante il
ricorso ad altre fonti informative disponibili presso il titolare o
pubbliche.
In ragione del fatto che, astrattamente, il rischio che una
violazione di dati personali arrechi pregiudizio ai dati stessi o
alla riservatezza dei soggetti ai quali essi si riferiscono e' sempre
sussistente, non e' certamente semplice definire a priori in quali
casi il fornitore possa esimersi dall'effettuare la comunicazione
della violazione al contraente o alle altre persone interessate.
L'art. 32-bis, comma 4, del Codice prevede comunque che, ove il
fornitore non vi abbia provveduto, il Garante, considerate le
presumibili ripercussioni negative della violazione, puo' obbligare
lo stesso ad effettuare la comunicazione al contraente o ad altra
persona interessata. E' evidente che tale possibilita' prescinde dal
fatto che il fornitore abbia reso inintelligibili i dati violati:
tale evenienza riduce, non fa venir meno, il rischio che i dati
violati siano comunque decifrabili e che, pertanto, il Garante
imponga di effettuare comunque la comunicazione.
Da quanto detto, risulta di tutta evidenza la necessita' che il
fornitore dia conto, nella comunicazione al Garante, della politica
di sicurezza attuata e che descriva anche le conseguenze della
violazione verificatasi e le misure proposte o adottate per porvi
rimedio, in tal modo consentendo all'Autorita' di fare le proprie
valutazioni e dare eventuali prescrizioni.
7.2. Canale per la comunicazione al contraente o ad altre persone.
Ciascun fornitore dovra' valutare quale sia il canale di
comunicazione che consente di raggiungere piu' facilmente e
tempestivamente i soggetti i cui dati sono interessati dalla
violazione. E cio', sia con riguardo ai contraenti, sia, soprattutto,
con riferimento a quelle persone che non sono clienti del fornitore,
ma che pure sono state coinvolte dalla violazione e alle quali il
medesimo fornitore potra' rivolgere una comunicazione diretta laddove
disponga dei relativi dati personali di contatto senza necessita' di
ulteriore raccolta di informazioni.
Quando in determinate circostanze non si sia proceduto alla
comunicazione individuale - modalita' senz'altro da preferire -
soprattutto con riferimento ai soggetti da ultimo indicati, ma anche
in relazione ai clienti del fornitore, nei casi in cui sia coinvolto
un numero molto elevato di contraenti, si ritiene che il medesimo
fornitore possa piu' facilmente raggiungere lo scopo previsto dalla
normativa - informare senza ritardo i soggetti i cui dati sono
coinvolti dalla violazione - tramite forme di comunicazione diverse
da quella ad personam.
Si ritiene, cioe', che in alcuni casi siano piu' utili forme di
comunicazione di carattere pubblico, quali la diffusione di avvisi su
quotidiani, anche on line, oppure per mezzo di emittenti
radiofoniche, anche locali. Tali forme alternative di comunicazione
ai contraenti o alle altre persone coinvolte dalla violazione vanno
ovviamente realizzate anch'esse entro il piu' breve lasso di tempo e,
comunque, entro il termine di 3 giorni indicato ai punti 5 e 7.
7.3. Valutazione del rischio che richiede la comunicazione al
contraente o ad altre persone.
Come si e' detto, e' necessario che il fornitore effettui delle
valutazioni per decidere quali misure adottare per ridurre il
rischio, attenuare il danno qualora si verifichi la violazione e
decidere se comunicare al contraente e/o alle altre persone,
consentendo loro, cosi', di adottare le precauzioni necessarie.
Tali valutazioni dovrebbero essere svolte sulla base di criteri
determinati e comuni a tutti i fornitori, in modo tale da porre in
campo scelte ponderate e confrontabili. Potrebbero soccorrere, ai
fini della suindicata valutazione, innanzitutto elementi quali la
quantita' e la qualita' dei dati coinvolti nella violazione.
A titolo meramente esemplificativo, una violazione che riguardi un
solo dato personale o, anche, piu' dati personali, non sensibili, di
un solo contraente - ferma restando la necessita' che il fornitore
adotti tutte le misure in grado di ridurre il danno - potrebbe non
dover essere necessariamente comunicata allo stesso ai sensi
dell'art. 32-bis, comma 2.
Parimenti importante e, dunque, da considerare nella valutazione
del rischio, e' la «attualita'» dei dati detenuti, ossia il tempo
trascorso dall'acquisizione dei dati stessi e dal loro inserimento
nei database del fornitore. Dati piu' recenti potrebbero infatti
destare maggiore interesse per eventuali malintenzionati in quanto e'
piu' alta la probabilita' che essi esprimano in modo attendibile uno
«stato» o una specifica condizione (economica, di salute, abitativa
ecc.) in cui si trova l'interessato al momento dell'avvenuta
violazione.
Potrebbe essere utile poi, per decidere se comunicare o meno la
violazione agli interessati, considerare gli effetti della violazione
stessa e ritenere sussistente il pregiudizio per i dati o la vita
privata del contraente o di altra persona quando la violazione
«implica, ad esempio, il furto o l'usurpazione d'identita', il danno
fisico, l'umiliazione grave o il danno alla reputazione in relazione
con la fornitura di servizi di comunicazione» (cfr. considerando 61,
direttiva 2009/136/Ce).
Per giungere a valori uniformi e comparabili, i fornitori
dovrebbero affrontare la valutazione del rischio anche con un
approccio di tipo quantitativo, individuando in ragione dei succitati
attributi dei dati coinvolti nella violazione (qualita', quantita',
attualita', ecc.), specifiche metriche in grado di rappresentare gli
effetti pregiudizievoli che la stessa potrebbe provocare
sull'interessato.
Riepilogando, quindi, potrebbero essere utilizzati quali parametri
per la valutazione del rischio:
i controlli e le misure di sicurezza gia' in essere (quale, ad
esempio, la crittografia);
la tipologia dei dati oggetto della violazione (facendo
particolare attenzione ai dati di traffico telefonico o telematico,
nonche' alle credenziali di autenticazione utilizzate dagli utenti);
la tipologia della violazione verificatasi (ad esempio, accesso
non autorizzato piuttosto che perdita o distruzione dei dati);
l'identificabilita' dei contraenti o delle altre persone
coinvolte nella violazione (ad esempio, nel caso in cui la violazione
abbia avuto ad oggetto piu' tipologie di dati relative alle medesime
persone);
l'attualita' dei dati oggetto della violazione.
Nella valutazione di tali criteri indicativi, occorre che il
fornitore tenga sempre conto dello specifico contesto nel quale si e'
verificato l'evento di violazione (vi sono, infatti, ambiti che
presentano un maggiore grado di sensibilita', quali a titolo
esemplificativo, quello sanitario o militare) e che nel dubbio venga
preso in considerazione il caso peggiore, ossia quello nel quale la
riservatezza o i dati personali dei contraenti o delle altre persone
siano effettivamente pregiudicati dall'evento (ad esempio, la
possibile esposizione a frodi nel caso di perdita di dati relativi
alla carta di credito degli interessati).
8. Conseguenze per le ipotesi del mancato rispetto dei nuovi obblighi
di sicurezza.
Per le ipotesi di violazione dei nuovi obblighi di sicurezza, il
decreto legislativo n. 69/2012 ha introdotto nel Codice nuove e
specifiche sanzioni amministrative (cfr. art. 162-ter) ed ha esteso
quella penale prevista dall'art. 168 all'ipotesi di falsita' nelle
notificazioni al Garante ai sensi dell'art. 32-bis, commi 1 e 8.
L'art. 162-ter stabilisce che la omessa comunicazione della
violazione di dati personali al Garante ex art. 32-bis, comma 1,
nonche' la ritardata comunicazione, ossia quella effettuata oltre i
termini indicati al punto 5, e' punita con la sanzione amministrativa
del pagamento di una somma da venticinquemila euro a
centocinquantamila euro; la omessa comunicazione della violazione di
dati personali al contraente o ad altra persona ex 32-bis, comma 2,
nonche' la ritardata comunicazione, ossia quella effettuata oltre i
termini indicati al punto 7, e' punita con la sanzione amministrativa
del pagamento di una somma da centocinquanta euro a mille euro per
ciascun contraente o altra persona interessata.
In tale ipotesi, poi, il fornitore non puo' beneficiare del cumulo
giuridico di cui all'art. 8 della legge n. 689/1981 e, tuttavia, la
sanzione non puo' essere applicata in misura superiore al 5 per cento
del volume d'affari realizzato dallo stesso nell'ultimo esercizio
chiuso anteriormente alla notificazione della contestazione della
violazione amministrativa, ferma restando la possibilita' di aumento
fino al quadruplo se le sanzioni risultino inefficaci in ragione
delle condizioni economiche del contravventore, ai sensi dell'art.
164-bis, comma 4 (cfr. art. 162-ter, commi 2 e 3).
Ai sensi dell'art. 162-ter, comma 4, la violazione della
disposizione concernente la tenuta di un aggiornato inventario delle
violazioni di dati personali, e' punita con la sanzione
amministrativa del pagamento di una somma da ventimila euro a
centoventimila euro.
Le medesime sanzioni previste per i fornitori si applicano anche
nei confronti dei soggetti ai quali sia stata affidata l'erogazione
dei servizi, qualora tali soggetti abbiano omesso di comunicare senza
ritardo al fornitore tutte le informazioni necessarie allo stesso per
adempiere ai propri obblighi (art. 162-ter, comma 5).
L'art. 168 punisce, poi, salvo che il fatto costituisca piu' grave
reato, con la reclusione da sei mesi a tre anni il fornitore che
dichiari o attesti falsamente notizie o circostanze, o produca atti o
documenti falsi in occasione della comunicazione al Garante
conseguente alla violazione di dati personali, nonche' i soggetti,
cui sia affidata l'erogazione del servizio, che effettuino false
comunicazioni al fornitore.
Tutto cio' premesso
Il Garante
ai sensi dell'art. 32-bis, comma 6, del Codice, stabilisce che i
fornitori di servizi di comunicazione elettronica accessibili al
pubblico come specificati in premessa sono tenuti a:
a. provvedere ad una prima, seppur sommaria, comunicazione al
Garante della violazione dei dati personali subita entro il termine
di 24 ore dall'avvenuta conoscenza della violazione, fornendo gli
eventuali elementi ulteriori entro 3 giorni dalla stessa;
b. indicare nella comunicazione al Garante - laddove la scoperta
della violazione non sia stata contestuale al verificarsi dell'evento
- le ragioni che non hanno consentito l'immediata rilevazione
dell'evento medesimo e le misure adottate o che si intende adottare
affinche' cio' non si ripeta;
c. fornire al Garante, sin dalla prima comunicazione dell'avvenuta
violazione dei dati personali, almeno le seguenti informazioni:
1. i dati identificativi del fornitore;
2. una breve descrizione della violazione;
3. l'indicazione della data anche presunta della violazione e del
momento della sua scoperta;
4. l'indicazione del luogo in cui e' avvenuta la violazione dei
dati, specificando altresi' se essa sia avvenuta a seguito di
smarrimento di dispositivi o di supporti portatili;
5. l'indicazione della natura e della tipologia dei dati anche
solo presumibilmente coinvolti;
6. una sintetica descrizione dei sistemi di elaborazione o di
memorizzazione dei dati coinvolti, con indicazione della loro
ubicazione;
d. provvedere alla comunicazione ai contraenti o alle altre persone
alle quali si riferiscono i dati personali oggetto della violazione
entro il termine di 3 giorni dall'avvenuta conoscenza della
violazione;
e. registrare nell'inventario il data breach che li ha coinvolti
contestualmente alla comunicazione al Garante indicata al punto 5,
avendo cura poi di inserire tempestivamente gli elementi che
dovessero emergere successivamente, anche all'esito di ulteriori
verifiche.
Si dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia ai fini della sua pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana a cura dell'Ufficio
pubblicazione leggi e decreti.
Roma, 4 aprile 2013
Il presidente: Soro
Il relatore: Iannini
Il segretario generale: Busia