I MERCOLEDÌ DELLA PRIVACY: Incidenti informatici e “Data Breach”

Ci dice il Garante che una violazione dei dati o “Data breach” è “una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.

Chi rischia paga
Il rischio di una violazione dei dati ricade sugli interessati e, nell'ambito che ci occupa, un data breach subito da un amministratore può comportare rischi sui singoli condòmini, in quanto potrebbero vedersi compromessa la riservatezza, l'integrità o la disponibilità di dati personali.

Molte volte si è discusso su quali fattispecie possono ricadere nella “violazione dei dati” così come intesa nel GDPR e, in tal senso, alcuni possibili esempi possono essere l'accesso o l'acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, la deliberata alterazione di dati personali, l'impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, (virus, malware, ecc.), la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, la divulgazione non autorizzata dei dati personali.

La notifica
In questi casi l'amministratore deve notificare la violazione al Garante, “senza ingiustificato ritardo”, entro 72 ore dal momento in cui ne è venuto a conoscenza, “a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche”.

Quindi, quando l'amministratore ritenga che la perdita del dato non comporti rischi per gli interessati, si deve procedere ad effettuare una valutazione del rischio, di cui occorre tenere traccia per poterne fornire evidenza documentale in caso di richiesta da parte degli Organi ispettivi.

L’amministratore di condominio
Nell'ambito condominiale, l'amministratore di condominio, sia laddove rivesta il ruolo di responsabile del trattamento dati per conto del Condominio amministrato, sia laddove rivesta il ruolo di titolare del trattamento, deve comunque considerarsi obbligato a procedere ad effettuare la notificazione del Data Breach per conto del Condominio titolare del trattamento.

Per giunta, una eventuale notifica al Garante effettuata oltre il termine delle 72 ore, deve essere accompagnata dal motivo del ritardo.

È poi il Garante a valutare se la violazione comporta un rischio elevato per i diritti delle persone e, in qual caso, chiedere al titolare di comunicarla a tutti gli interessati, utilizzando i canali più idonei, “a meno che abbia già preso misure tali da ridurne l'impatto” (in questo ultimo caso occorre dimostrare di aver effettuato una specifica valutazione dei rischi alla luce degli interventi effettuati).

Il «registro delle violazioni»
L'amministratore di condominio è obbligato a predisporre un apposito registro delle violazioni, nel quale devono essere riportati tutti gli eventi di questa natura e, tale documento, consente all'Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Per quanto concerne la notifica che da effettuare al Garante, questa abbisogna delle informazioni previste all'art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell'allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951), ove il Garante ha riportato proprio il modello che si consiglia di compilare e utilizzare.

L’invio
È consigliabile poi che l'amministratore proceda ad inviare il documento in questione tramite posta elettronica certificata all'indirizzo protocollo@pec.gpdp.it, sottoscrivendolo digitalmente (con firma elettronica qualificata/firma digitale), ovvero con firma autografa. In quest'ultimo caso la notifica va presentata unitamente alla copia del documento d'identità del firmatario.

All'esito della notifica, il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679), laddove sia rilevata una violazione delle disposizioni del Regolamento stesso. Ma gli Organi ispettivi possono anche infliggere sanzioni che vanno a riguardare non solo l'omessa o inidonea notificazione della violazione o l'errata tenuta del registro, ma anche l'adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.

Le attività ispettive
Si consideri che il rischio di subire attività ispettive e le conseguenti sanzioni che ne potrebbero derivare, non è assolutamente aleatorio.

Infatti, l'attività ispettiva programmata in tandem tra la Guardia di Finanza e il Garante Privacy sta proseguendo il suo percorso. Nella relazione predisposta dall'Osservatorio di Federprivacy e presentata alla stampa il 7/01/2020, che ha studiato l'attività effettuata in 30 paesi dello Spazio Economico Europeo (SEE), l'Italia risulta essere il paese che ha inflitto il maggior numero di sanzioni nell'anno 2019.

Nella relazione in questione si legge che: “Nonostante il Garante italiano per la privacy attenda da oltre sei mesi di rinnovare il collegio scaduto dal 19 giugno dello scorso anno, l'Authority guidata da Antonello Soro, attualmente in regime di prorogatio con poteri limitati alla gestione degli affari di ordinaria amministrazione e quelli indifferibili e urgenti, ha comunque continuato a svolgere regolarmente le proprie attività ispettive, e già alla fine del primo semestre del 2019 - riferisce Federprivacy - aveva proceduto all'iscrizione a ruolo di 779 contravventori, con una riscossione complessiva prevista di circa 11 milioni di euro quando saranno completati i procedimenti sanzionatori”.

Dalle analisi sulle cause che hanno portato alle sanzioni, si legge nella relazione, che Il 9% sono scattate proprio a seguito di incidenti informatici e “data breach”.

Quindi, all'amministratore si raccomanda massima cura nello svolgimento di tutti gli incombenti collegati agli incidenti informatici, eventualmente chiedendo assistenza a consulenti privacy per lo svolgimento delle relative pratiche, al fine di evitare di rischiare spiacevoli inconvenienti per se e per il Condominio coinvolto quale titolare del trattamento.