[Modello destinato ai fornitori di servizi di comunicazione elettronicaper
 la comunicazione dei casi di violazione dei dati personali (databreach)](*)

Provvedimento in materia di attuazionedella disciplina sulla comunicazione delle violazioni di dati personali (c.d.data breach)
(Pubblicato sulla GU n. 97 del 26-4-2013)

PROVVEDIMENTO DEL 4 APRILE 2013

Registro dei provvedimenti
n. 161 del 4 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clericie della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice") e, in particolare, gli artt. 32 e 32-bis;

VISTAla precedente deliberazione del Garante recante "Linee guida in materia di attuazione della disciplina sullacomunicazione delle violazioni di dati personali" (Del. n. 221 del26 luglio 2012, in G.U. n. 183 del 7 agosto 2012);

TENUTOCONTO delle risultanze dei contributi pervenuti al Garante dai principalifornitori di servizi di comunicazione elettronica, nonché da alcuneassociazioni di studio e ricerca del settore, che hanno partecipato allaconsultazione pubblica avviata con la richiamata deliberazione del 26 luglio2012;

CONSIDERATIi primi casi di violazione di dati personali verificatisi dall'entrata invigore della nuova disciplina e comunicati al Garante dai fornitori inottemperanza a quanto previsto dall'art. 32-bis, comma 1, del Codice;

RITENUTOnecessario adottare, ai sensi dell'art. 32-bis, comma 6, del Codice, unprovvedimento generale che sostituisce le suindicate Linee guida al fine difornire orientamenti e istruzioni in relazione alle circostanze in cui ilfornitore ha l'obbligo di comunicare le violazioni di dati personali, alformato applicabile a tale comunicazione, nonché alle relative modalità dieffettuazione;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

PREMESSA

1. Considerazioni preliminari.

Ladirettiva 2002/58/Ce (c.d. direttiva e-Privacy) afferma che i fornitori diservizi di comunicazione elettronica devono adottare "appropriate misuretecniche e organizzative" per assicurare "un livello di sicurezzaadeguato al rischio esistente" (art. 4, comma 1). Nella direttiva2009/136/Ce (che ha modificato la direttiva 2002/58/Ce) si è tenuto conto, inparticolare, del fatto che un evento che coinvolga i dati personali, se nontrattato in modo adeguato e tempestivo, può provocare un grave danno economicoe sociale al contraente (o alle altre persone interessate), tra cuil'usurpazione d'identità (cfr. considerando 61).

Conil recepimento delle suindicate previsioni tramite il decreto legislativo 28maggio 2012, n. 69, con il quale il Governo ha dato attuazione alla delegaprevista nell'art. 9 della legge comunitaria del 2010 (legge 15 dicembre 2011,n. 217, pubblicata in G.U. 2 gennaio 2012, n. 1), i fornitori di servizi dicomunicazione elettronica sono oggi tenuti a comunicare senza indebiti ritardial Garante e, in alcuni casi, al contraente o ad altre persone interessate,l'occorrenza dei predetti eventi, qualificati come "violazioni di datipersonali".

2. Quadro normativo.

Comesopra accennato, il decreto legislativo 28 maggio 2012, n. 69 ha apportatosignificative e numerose modifiche al Codice, introducendo, per quanto dispecifico interesse, la nuova disciplina concernente la gestione dellesuindicate violazioni di sicurezza nel settore delle comunicazionielettroniche.

»stata così introdotta la definizione di "violazione di datipersonali", intesa come la "violazione della sicurezza che comportaanche accidentalmente la distruzione, la perdita, la modifica, la rivelazionenon autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunqueelaborati nel contesto della fornitura di un servizio di comunicazioneaccessibile al pubblico" (art. 4, comma 3, lett. g-bis), del Codice).

Sitratta di una definizione da un lato molto ampia, in quanto comprende qualunqueevento metta a rischio, anche in maniera del tutto accidentale, i dati trattatinell'ambito dei servizi di comunicazione elettronica, e dall'altro volta adelimitare il contesto (quello, appunto, dei servizi di comunicazioneelettronica accessibili al pubblico), nonché l'ambito soggettivo (quello deifornitori di tali servizi), nel quale opera la nuova disciplina.

Inquest'ottica vanno lette anche le modifiche all'art. 32 del Codice, oraespressamente rubricato "Obblighi relativi ai fornitori di servizi dicomunicazione elettronica accessibili al pubblico" e che impone alfornitore di adottare, anche attraverso altri soggetti cui sia affidatal'erogazione del servizio, "misure tecniche e organizzative adeguate alrischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gliadempimenti di cui all'articolo 32-bis".

Illegislatore comunitario è peraltro consapevole del fatto che l'interesse degliutenti ad essere informati sulle violazioni di sicurezza che coinvolgono i lorodati personali non si limita al settore delle comunicazioni elettroniche. Edinfatti, le proposte di riforma della legislazione comunitaria in materia diprotezione dei dati (cfr. schema di Regolamento presentato dalla Commissioneeuropea il 25 gennaio 2012, attualmente all'esame del Parlamento e delConsiglio) prevedono un'estensione generalizzata dell'obbligo di notifica delleviolazioni dei dati personali a tutti i titolari pubblici e privati (v. ancheconsiderando 59, direttiva 2009/136/Ce).

Inalcuni Stati membri del resto sono già in vigore disposizioni che prevedono unaplatea più ampia di soggetti che effettuano tale notifica (es. in Irlanda); intal senso, peraltro, si è espresso anche il Gruppo dei Garanti europei (c.d."Gruppo Art. 29") nel documento n. 01/2011, adottato il 5 aprile2011.

L'art.32-bis citato introduce poi nel Codice la disciplina degli "Adempimenticonseguenti ad una violazione di dati personali" e sancisce l'obbligo, peri fornitori di servizi di comunicazione elettronica accessibili al pubblico, dicomunicare senza indebiti ritardi al Garante la violazione di dati personali daessi detenuti. Nei casi in cui dalla violazione possa derivare pregiudizio aidati personali o alla riservatezza di un contraente o di altra persona, ilfornitore dovrà comunicare l'avvenuta violazione anche a tali soggetti (art.32-bis, comma 2).

Taleseconda comunicazione  ferma restando la difficoltà, sulla quale si torneràin seguito, di delimitare i casi nei quali la violazione possa arrecarepregiudizio al contraente o ad altre persone interessate, potendo tale rischiodirsi in astratto sempre sussistente  non è dovuta se il fornitore hadimostrato al Garante di aver utilizzato misure "che rendono i datiinintelligibili a chiunque non sia autorizzato ad accedervi e che tali misureerano state applicate al momento della violazione" (art. 32-bis, comma 3).Il Garante, considerate le presumibili ripercussioni negative della violazione,può comunque obbligare il fornitore ad effettuare la predetta comunicazione,ove lo stesso non vi abbia già provveduto (comma 4).

3. Ambito soggettivo.

Comesi è già accennato, la nuova disciplina concernente gli obblighi dicomunicazione al Garante e alle persone interessate non riguarda la totalitàdei titolari dei trattamenti, ossia dei soggetti, pubblici o privati, chedetengono e trattano dati personali in funzione della propria attività.

Inuovi adempimenti gravano, infatti, esclusivamente sui fornitori di servizi dicomunicazione elettronica accessibili al pubblico (di seguito,"fornitori") e, quindi, su quei soggetti che mettono a disposizionedel pubblico, su reti pubbliche di comunicazione, servizi consistenti,esclusivamente o prevalentemente, "nella trasmissione di segnali su retidi comunicazioni elettroniche" (art. 4, comma 2, lett. d) ed e), delCodice).

Imedesimi adempimenti sono inoltre connessi alla particolare attività di fornituradei predetti servizi, quale ad esempio il servizio telefonico o quello diaccesso a Internet. Ciò significa che se la violazione riguarda una banca datidel fornitore che non attiene in maniera specifica al servizio offerto dallostesso, ma ad una qualunque delle altre attività che svolge, ad esempio allagestione del personale o alla contabilità, l'obbligo di comunicazione non vige.

Alriguardo, anche al fine di individuare i soggetti interessati dalla nuovadisciplina, si rinvia alle indicazioni fornite dal Garante con il provvedimentorelativo alla "Sicurezza dei dati di traffico telefonico etelematico" (provv. del 17 gennaio 2008, pubblicato in G.U. n. 30 del 5febbraio 2008, come modificato e integrato dal provvedimento del 24 luglio 2008,pubblicato in G.U. n. 189 del 13 agosto 2008), in quanto vi è una sostanzialeidentità dei titolari tenuti alla conservazione ex art. 132 del Codice, nonchéall'adozione delle misure ivi prescritte con i destinatari della nuovadisciplina ex art. 32-bis.

Intale provvedimento, infatti, è stato evidenziato che "fornitori di servizidi comunicazione elettronica accessibili al pubblico" sono quei soggettiche realizzano esclusivamente, o prevalentemente, una trasmissione di segnalisu reti di comunicazioni elettroniche, a prescindere dall'assetto proprietariodella rete, e che offrono servizi a utenti finali secondo il principio di nondiscriminazione (cfr. anche direttiva 2002/21/Ce del Parlamento europeo e delConsiglio, che istituisce un quadro normativo comune per le reti e i servizi dicomunicazione elettronica -c.d. direttiva quadro- e d.lg. n. 259/2003 recanteil Codice delle comunicazioni elettroniche).

Alcontrario non rientrano tra tali soggetti:

-    coloroche offrono direttamente servizi di comunicazione elettronica a gruppidelimitati di persone (come, a titolo esemplificativo, i soggetti pubblici oprivati che consentono soltanto a propri dipendenti e collaboratori dieffettuare comunicazioni telefoniche o telematiche). Tali servizi, purrientrando nella definizione generale di "servizi di comunicazioneelettronica", non possono essere infatti considerati come"accessibili al pubblico";

-    ititolari e i gestori di esercizi pubblici o di circoli privati di qualsiasispecie che si limitino a porre a disposizione del pubblico, di clienti o sociapparecchi terminali utilizzabili per le comunicazioni, anche telematiche,ovvero punti di accesso a Internet utilizzando tecnologia senza fili, esclusi itelefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale;

-    igestori dei siti Internet che diffondono contenuti sulla rete (c.d."content provider"). Essi non sono, infatti, fornitori di un"servizio di comunicazione elettronica" come definito dall'art. 4,comma 2, lett. e) del Codice. Tale norma, infatti, nel rinviare, per i casi diesclusione, all'art. 2, lett. c) della direttiva 2002/21/Ce cit., esclude essastessa i "servizi che forniscono contenuti trasmessi utilizzando reti eservizi di comunicazione elettronica [ä]". Qualora tali soggetti offranoanche il servizio di posta elettronica, limitatamente alla gestione dei datipersonali relativi allo stesso, rientrano viceversa nel campo di applicazionedella nuova disciplina;

-    igestori di motori di ricerca, salvo l'eventuale componente di trasmissionedati.

Discorsoa parte va fatto per i servizi di Mobile Payment eventualmente offerti dalfornitore ai propri utenti. Si tratta di servizi che consentono di effettuarepagamenti o trasferimenti di denaro tramite telefono mobile, che moltifornitori stanno implementando a seguito del recepimento della direttiva n.2007/64/Ce (la c.d. PSD, "Payment Service Directive") ad opera deld.lgs. 27 gennaio 2010, n. 11.

Piùspecificamente, il pagamento del bene o servizio acquistato avviene o mediantecarta di credito su disposizione inviata per il tramite del telefono mobile inpresenza di apposito lettore POS (c.d. modalità "proximity"), oppurecon addebito e conseguente decurtazione del costo dal credito telefonico, per iclienti dotati di una carta ricaricabile, e con addebito sul conto telefonico,per i clienti in abbonamento (c.d. modalità "remote").

Inquest'ultimo caso, i dati di pagamento dei clienti sono strettamente connessi aquelli di traffico telefonico degli stessi; si ritiene pertanto che anche per leviolazioni riguardanti tali servizi il fornitore sia tenuto agli obblighi dicui all'art. 32-bis del Codice.

3.1. Servizi erogati tramite altri soggetti.

Lanuova normativa prende espressamente in considerazione l'ipotesi in cui ilfornitore affidi l'erogazione del servizio di comunicazione elettronica adaltri soggetti. In particolare, l'art. 32-bis, comma 8, prevede che, in questicasi, i soggetti esterni affidatari dell'erogazione del servizio siano tenuti acomunicare "senza indebito ritardo al fornitore tutti gli eventi e leinformazioni necessarie a consentire a quest'ultimo di effettuare gliadempimenti" in materia di violazione dei dati personali.

Sitratta di una disposizione che riguarda la particolare situazione che vedecoinvolti i fornitori di comunicazione elettronica "tradizionali" e,ad esempio, i c.d. operatori virtuali di rete mobile (Mobile Virtual NetworkOperator, MVNO), ossia le società che forniscono servizi di telefonia mobilesenza possedere alcuna licenza per il relativo spettro radio né tutte leinfrastrutture necessarie per fornire tali servizi e che utilizzano a talescopo una parte dell'infrastruttura di uno o più operatori mobili reali (MNO).

IMVNO sono dotati di archi di numerazione telefonica propri e quindi di proprieSIM card, possono gestire in proprio le funzioni di commutazione e di trasportononché la base dati di registrazione degli utenti mobili. Sono, quindi,completamente autonomi nella relazione con i clienti, i quali non hanno alcunrapporto diretto con l'operatore di rete mobile e stipulano un unico contratto,appunto, con il MVNO.

Daciò emerge, pertanto, come gli obblighi di comunicazione derivanti da eventualiviolazioni di dati personali dei clienti (o di altre persone interessate)incombano sul MVNO, l'unico a conoscere, nella maggior parte dei casi,l'identità dei clienti stessi. E tuttavia, in ragione del fatto che, comedetto, il servizio viene materialmente erogato congiuntamente con il MNO e che,quindi, possono essere coinvolti sistemi dei quali dispone soltantoquest'ultimo, è necessario che tale soggetto renda noti tutti gli eventi e leinformazioni concernenti l'avvenuta violazione all'operatore virtuale, in modotale che questo possa adempiere ai propri obblighi nei confronti del Garante e,eventualmente, dei clienti.

Alriguardo, si rinvia alle definizioni contenute nella Delibera dell'Autorità perle garanzie nelle comunicazioni n. 544/00/CONS, "Condizioni regolamentarirelative all'ingresso di nuovi operatori nel mercato dei sistemiradiomobili" (pubblicata in G.U. n. 183 del 7 agosto 2000).

Unaltro caso rientrante nella previsione di cui al comma 8 è quello nel quale ilfornitore del servizio di comunicazione elettronica, pur potendosi definire"tradizionale", affidi in tutto o in parte la materiale erogazionedel servizio stesso a soggetti terzi, che abbiano le infrastrutture a ciònecessarie, ad esempio per ragioni di ottimizzazione dei costi.

Fermarestando la necessità che in tali ipotesi i soggetti coinvolti configurinocorrettamente i rispettivi ruoli in termini di titolare e responsabile deltrattamento, l'eventuale violazione dei dati personali trattati nell'ambito deisistemi affidati dal fornitore al soggetto terzo, dovrà essere da questonecessariamente comunicata al fornitore stesso entro 24 ore dall'avvenutaconoscenza della violazione, il quale potrà poi comunicare a sua volta la violazioneal Garante e, se occorre, al contraente o ad altra persona interessata, comeriportato al punto 5.

4. Gestione della sicurezza e delle violazioni.

L'art.32 del Codice (come modificato dal d.lg. n. 69/2012 in attuazione di quantoprevisto dall'art. 4 della direttiva 2002/58/Ce) prevede che i soggetti cheoperano sulle reti di comunicazione elettronica debbano garantire "che idati personali siano accessibili soltanto al personale autorizzato per finilegalmente autorizzati" (cfr. comma 1-bis) e che le misure tecniche eorganizzative, che il fornitore di comunicazione elettronica deve adottare,siano adeguate al rischio esistente, garantiscano la protezione dei datiarchiviati o trasmessi da una serie di eventi espressamente indicati(distruzione, perdita, alterazione, anche accidentali, archiviazione,trattamento, accesso o divulgazione non autorizzati o illeciti) e assicurinol'attuazione di una "politica di sicurezza" (cfr. comma 1-ter).

Ilnuovo art. 32, comma 3, infine, impone al fornitore di informare i contraenti,il Garante, l'Agcom e, ove possibile, gli utenti, dell'esistenza di "unparticolare rischio di violazione della sicurezza della rete", indicando,quando il rischio è al di fuori dell'ambito di applicazione delle suindicatemisure, tutti i possibili rimedi e i relativi costi presumibili.

Taliprevisioni indicano chiaramente come i fornitori siano tenuti ad organizzarsial proprio interno al fine di garantire un elevato livello di sicurezza deidati detenuti e gestire in maniera strutturata e tramite procedure e interventidefiniti a priori, le eventuali violazioni di dati personali che dovesseroaccadere.

Comedichiarato anche dall'ENISA nelle sue recenti Raccomandazioni (disponibili all'indirizzo http://www.enisa.europa.eu/activities/identity-and-trust/risks-and-data-breaches/dbn/art4_tech),la gestione del rischio, in primo luogo, e delle violazioni di dati personali, qualoradovessero verificarsi, non può essere affidata dai fornitori a un'attivitàestemporanea. Essa richiede la predisposizione di un idoneo piano, nel qualedovrà essere individuata una serie di misure tecniche e organizzative dilivello commisurato al tipo di minaccia, in grado di garantire rispostetempestive, efficaci e adeguate all'entità della violazione.

Quantoall'individuazione delle misure minime di sicurezza propriamente dette ossia quelle alle quali la legge riconduce sanzioni di carattere anche penaleex art. 169 del Codice  si richiama l'art. 33 del Codice e le specificheprevisioni contenute nel Disciplinare tecnico in materia di misure minime disicurezza, di cui all'Allegato B (in particolare quelle relative ai trattamentisvolti con strumenti elettronici), la cui adozione è peraltro obbligatoria perqualunque titolare del trattamento.

4.1.Analisi dei rischi.

Alfine di ottemperare agli obblighi di cui all'art. 32 del Codice, è necessarioche i fornitori effettuino una preliminare ricognizione dell'insieme dei datipersonali trattati e dei rischi ai quali gli stessi vanno incontro.

»necessario, quindi, che ciascun fornitore identifichi e attribuisca un valoreai differenti dati personali che detiene e ai pericoli cui gli stessi sonoesposti, individuando la propria soglia di accettazione dei rischi e fissandole opportune strategie di gestione. Il fornitore è anche tenuto a individuaredelle soglie di rischio, ad esempio in base a livello basso, medio e alto, inragione delle quali decidere non solo quali misure adottare per garantireun'idonea protezione dei dati detenuti, ma anche se effettuare la comunicazioneal contraente o alle altre persone interessate.

Talepreliminare ricognizione consentirà ai fornitori di predisporre misure disicurezza volte sia a prevenire i possibili eventi avversi, sia a intervenirenel momento in cui gli stessi dovessero comunque -nonostante le misure adottate verificarsi.

Sitratta di valutazioni sostanzialmente analoghe a quelle che i fornitori, sinoal 10 febbraio 2012, erano tenuti ad effettuare ai fini della redazione delDocumento programmatico sulla sicurezza, misura minima prevista dalla regola 19del richiamato Disciplinare tecnico, abrogata dall'art. 45, comma 1, lett. d),del decreto legge 9 febbraio 2012, n. 5 (convertito, con modificazioni, dallalegge 4 aprile 2012, n. 35).

4.2.Adozione di adeguate misure di sicurezza.

L'analisidei rischi sopra indicata è alla base della predisposizione, da parte deifornitori, delle misure di sicurezza "adeguate al rischio esistente",richiamate dal nuovo art. 32, comma 1, del Codice, nonché dell'individuazionedi quelle maggiormente in grado di porre rimedio alla violazione eventualmenteverificatasi, le quali peraltro debbono essere descritte al Garante nellacomunicazione, come previsto dall'art. 32-bis, comma 5, del Codice.

Sisuggeriscono in particolare, le seguenti misure in grado di garantire unlivello minimo comune di sicurezza, che vanno ad aggiungersi a quelleprescritte con il citato provvedimento relativo alla "Sicurezza dei datidi traffico telefonico e telematico" del 17 gennaio 2008, nonché conquello relativo alle "Misure e accorgimenti prescritti ai titolari deitrattamenti effettuati con strumenti elettronici relativamente alleattribuzioni delle funzioni di amministratore di sistema" del 27 novembre2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008 e modificato in base alprovvedimento del 25 giugno 2009):

1.rendere i dati trattati immediatamente non disponibili per ulteriorielaborazioni da parte di sistemi informativi al termine delle attività svolte enelle quali gli stessi sono coinvolti, provvedendo alla loro cancellazione otrasformazione in forma anonima in tempi tecnicamente compatibili conl'esercizio delle relative procedure informatiche, nei data base e nei sistemidi elaborazione utilizzati per i trattamenti, nonché nei sistemi e nei supportiper la realizzazione di copie di sicurezza (backup e disaster recovery), anchecon il ricorso a tecnologie crittografiche o di anonimizzazione;

2. porreparticolare attenzione ai dispositivi portatili, predisponendo specifichemisure di sicurezza in grado di mitigare il rischio connesso alla portabilitàdell'apparato, e di assicurare agli stessi un livello di sicurezza analogo aquello applicato agli altri dispositivi informatici, in considerazione delfatto che molto spesso le violazioni della sicurezza riguardano i dispositivimobili utilizzati da dipendenti e collaboratori dei fornitori al di fuori degliuffici delle aziende. 

5. Comunicazione al Garante: tempi e contenuto.

Lapredisposizione da parte dei fornitori di un idoneo piano di gestione delleviolazioni sulla base di un'accurata analisi dei rischi è necessaria per poteradempiere correttamente anche all'obbligo di comunicazione al Garante previstodall'art. 32-bis. Tale disposizione stabilisce infatti che il fornitore debbacomunicare la violazione dei dati personali al Garante "senza indebitiritardi", ossia nel momento in cui lo stesso ne viene a conoscenza.

Stantel'importanza della tempestività della comunicazione al Garante, ma considerandoanche la complessità e il numero dei sistemi in uso presso i fornitori, nonchédei dati che detengono, si ritiene che tali soggetti nelle situazioni piùarticolate possano, in un primo momento, limitarsi a fornire all'Autoritàsommarie informazioni in relazione alla violazione verificatasi, purché ciòavvenga immediatamente dopo l'avvenuta conoscenza della stessa, integrando poila comunicazione in un momento successivo.

Talisommarie informazioni devono in ogni caso consentire all'Autorità di effettuareuna prima valutazione dell'entità della violazione e quindi, affinché lacomunicazione possa essere considerata come validamente effettuata, le stessedevono comprendere:

Ä    idati identificativi del fornitore;

Ä    unabreve descrizione della violazione;

Ä    l'indicazionedella data anche presunta della violazione e del momento della sua scoperta;

Ä    l'indicazionedel luogo in cui è avvenuta la violazione dei dati, specificando altresì seessa sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili;

Ä    l'indicazionedella natura e della tipologia dei dati anche solo presumibilmente coinvolti;

Ä    unasintetica descrizione dei sistemi di elaborazione o di memorizzazione dei daticoinvolti, con indicazione della loro ubicazione.

Siritengono congrui, quali termini entro i quali provvedere alla comunicazione,quello di 24 ore dall'avvenuta conoscenza della violazione per la primasommaria comunicazione, e quello di 3 giorni dalla stessa per la comunicazionedettagliata.

Peragevolare l'adempimento, è stato predisposto un modello di comunicazione da inviare al Garante, disponibile online sul sito dell'Autorità e idoneo alla raccolta delle informazioni sullaviolazione nonché al loro successivo trattamento con strumenti informatici daparte del Garante (Allegato 1).

Quantoal contenuto della comunicazione, l'art. 32-bis, comma 5, del Codice prevedeche essa, oltre alla descrizione della natura della violazione, all'indicazionedei punti di contatto presso cui ottenere maggiori informazioni e all'elencodelle misure raccomandate per attenuare i possibili effetti pregiudizievolidella violazione (elementi da inserire anche nell'eventuale comunicazione aisoggetti interessati), descriva le conseguenze della violazione e le misureproposte o adottate dal fornitore per porvi rimedio.

Laddovela scoperta della violazione non sia stata contestuale al verificarsidell'evento, si ritiene necessario che nella suindicata comunicazione venganopuntualmente indicate le ragioni che non hanno consentito l'immediatarilevazione dell'evento medesimo e le misure adottate o che si intende adottareaffinché ciò non si ripeta.

Qualora,all'esito delle verifiche effettuate dal fornitore successivamente alla primasommaria comunicazione, non dovessero emergere ulteriori elementi, il fornitoredovrà comunicare al Garante le modalità con le quali ha posto rimedio allaviolazione e le misure adottate per prevenire ulteriori violazioni dellamedesima specie.

Insostanza, è necessario che dalla comunicazione emergano gli elementi dai qualil'Autorità possa valutare compiutamente la gravità dell'evento verificatosi,anche in ragione del numero dei soggetti coinvolti e della quantità e qualitàdei dati colpiti, l'entità del danno cagionato e le misure adottate perridurlo. Ciò, al fine di intervenire con le prescrizioni che si rendesseronecessarie, compresa quella di comunicare l'avvenuta violazione ai contraenti oalle altre persone interessate.

Parimentiimportante, al fine di consentire all'Autorità di svolgere eventualiaccertamenti, risulta l'indicazione, nella comunicazione, dei sistemiapplicativi colpiti dalla violazione, nonché l'ubicazione fisica dei sistemi dielaborazione impiegati nel trattamento.

L'obbligodi comunicare l'avvenuta violazione al Garante ed eventualmente al contraente(o ad altra persona interessata) sussiste, ovviamente, anche qualora l'eventoabbia interessato dispositivi mobili e indipendentemente dal fatto che suglistessi siano installati sistemi di protezione dei dati. Anche per talidispositivi (come si vedrà nel prosieguo) l'unica ipotesi in cui il fornitorepuò esimersi dalla comunicazione al contraente (o ad altra persona interessata)è quella in cui i dati in essi contenuti o tramite gli stessi accessibili sianostati resi inintelligibili.

L'Autoritàsi riserva di intervenire nuovamente in merito ai tempi e al contenuto dellacomunicazione al Garante qualora nell'emanando Regolamento della Commissionerelativo alle misure applicabili alla comunicazione delle violazioni di datipersonali nell'ambito della Direttiva 2002/58/Ce sulla privacy e lecomunicazioni elettroniche dovesse emergere un differente orientamento alriguardo.

6. Inventario delle violazioni di dati personali.

Almedesimo scopo, quello cioè di consentire al Garante di svolgere il propriocompito di controllo sul rispetto, da parte dei fornitori, delle disposizioniin materia di violazione dei dati personali, è finalizzata la previsionerelativa alla tenuta di un inventario aggiornato delle violazioni, di cuiall'art. 32-bis, comma 7, del Codice (cfr. anche considerando 58, direttiva136/2009/Ce).

Intale inventario, i fornitori devono inserire tutte (e soltanto) le informazioninecessarie a chiarire le circostanze nelle quali si sono verificate leviolazioni, le conseguenze che le stesse hanno avuto e i provvedimenti adottatiper porvi rimedio.

Proprioper consentire il raggiungimento delle finalità dichiarate dalla disposizionein questione, è opportuno che l'inventario tenga traccia delle varie fasi conle quali il fornitore ha gestito l'incidente/evento, dalla sua scoperta allasua risoluzione/conclusione, ivi comprese le comunicazioni inviate al Garante eal contraente e/o ad altra persona. In tal modo, l'inventario potrà costituireper i fornitori anche un valido strumento per un'analisi statistica dellediverse tipologie di violazioni che hanno interessato i servizi offerti e perl'adozione di misure atte a migliorare la politica di sicurezza dell'azienda.

L'inventario,pertanto, dovrà essere continuamente aggiornato dai fornitori e messo adisposizione del Garante, qualora l'Autorità chieda di accedervi. In ogni caso,anche ai fini dell'applicazione delle sanzioni previste, i fornitori dovrannoregistrare nell'inventario il data breach che li ha coinvolti contestualmentealla comunicazione al Garante indicata al punto 5, avendo cura poi di inseriretempestivamente gli elementi che dovessero emergere successivamente, ancheall'esito di ulteriori verifiche.

Dovranno,inoltre, essere adottate dal fornitore idonee misure atte a garantirel'integrità e l'immodificabilità delle registrazioni in esso contenute.

7. Comunicazione al contraente o ad altre persone.

Qualorasi verifichi una violazione di dati personali e dalla stessa possa derivare unpregiudizio ai dati personali o alla riservatezza di un contraente o di altrepersone, ossia dei soggetti ai quali si riferiscono i dati violati, oltre allacomunicazione al Garante, i fornitori sono tenuti a comunicare l'avvenutaviolazione, senza ritardo, anche a tali soggetti (art. 32-bis, comma 2, delCodice).

Peril contenuto di tale comunicazione, si rinvia al punto 5.

Inquesto caso, si ritiene che il fornitore debba procedere alla suindicatacomunicazione non oltre il termine di 3 giorni dall'avvenuta conoscenza dellaviolazione.  Il fornitore potrà poi scegliere il canale di comunicazioneche riterrà più idoneo, tenendo conto di quanto indicato nel successivo punto7.2.

Anchein ragione delle indicazioni provenienti dalla Commissione, si ritiene che incircostanze eccezionali, qualora la comunicazione al contraente o ad altrepersone possa pregiudicare lo svolgimento delle verifiche sul data breach, ilGarante possa autorizzare il fornitore a ritardare la medesima comunicazioneper il tempo strettamente necessario al completamento delle stesse.

Lapredetta comunicazione non è dovuta se il fornitore è in grado di dimostrare alGarante di aver applicato ai dati oggetto della violazione misure tecnologichedi protezione che li hanno resi inintelligibili a chiunque non sia autorizzatoad accedervi (cfr. art. 32-bis, comma 3, del Codice).

Lamisura dell'inintelligibilità dei dati violati non riguarda naturalmentel'ipotesi in cui la "violazione della sicurezza" (cfr. art. 4, comma3, lett. g-bis), del Codice) abbia comportato la distruzione o la perdita deidati personali dei contraenti. In tale evenienza, infatti, la violazioneriguarda profili della sicurezza diversi dalla confidenzialità dei dati,determinando il venir meno dell'integrità e/o della disponibilità degli stessida parte degli interessati, ai quali potrebbe pertanto rendersi necessariocomunicare l'accaduto.

Inogni caso, in ragione dell'entità del possibile pregiudizio per gliinteressati, devono essere sempre comunicate immediatamente ai contraenti leviolazioni che riguardano le credenziali di autenticazione (nome utente e password,ancorché quest'ultima sia cifrata o sottoposta a funzioni di hashing) o lechiavi di cifratura utilizzate dai contraenti medesimi.

7.1.Inintelligibilità dei dati.

Agiudizio dell'Autorità, si considerano inintelligibili i dati che, ad esempio:

a. sianostati cifrati in modo sicuro attraverso un algoritmo standardizzato, o mediantel'impiego di schemi di cifratura a chiave simmetrica o pubblica noti inletteratura, purché la chiave di decifrazione sia di adeguata lunghezza(espressa in numero di bit), sia stata predisposta dal titolare una policy perla relativa custodia, e se essa non sia stata compromessa da violazioni dellasicurezza e sia stata generata in modo da non consentirne la derivazione con gli strumenti tecnologici disponibili da parte di soggetti non autorizzatiad accedervi; oppure

b. sianostati sostituiti da un valore di hash calcolato attraverso una funzionecrittografica di hashing a chiave, purché la chiave utilizzata per effettuarelo hashing dei dati sia di adeguata lunghezza (espressa in numero di bit), siastata predisposta dal titolare una policy per la relativa custodia, e se essanon sia stata compromessa da violazioni della sicurezza e sia stata generata inmodo da non consentirne la derivazione  con gli strumenti tecnologicidisponibili da parte di soggetti non autorizzati ad accedervi; oppure

c. sianostati resi anonimi con procedure tali da non consentire la reidentificazionedegli interessati cui si riferiscono da parte di soggetti non legittimati alloro trattamento, anche mediante il ricorso ad altre fonti informativedisponibili presso il titolare o pubbliche.

Inragione del fatto che, astrattamente, il rischio che una violazione di datipersonali arrechi pregiudizio ai dati stessi o alla riservatezza dei soggettiai quali essi si riferiscono è sempre sussistente, non è certamente semplicedefinire a priori in quali casi il fornitore possa esimersi dall'effettuare lacomunicazione della violazione al contraente o alle altre persone interessate.

L'art.32-bis, comma 4, del Codice prevede comunque che, ove il fornitore non vi abbiaprovveduto, il Garante, considerate le presumibili ripercussioni negative dellaviolazione, può obbligare lo stesso ad effettuare la comunicazione alcontraente o ad altra persona interessata. » evidente che tale possibilitàprescinde dal fatto che il fornitore abbia reso inintelligibili i dati violati:tale evenienza riduce, non fa venir meno, il rischio che i dati violati sianocomunque decifrabili e che, pertanto, il Garante imponga di effettuare comunquela comunicazione.

Daquanto detto, risulta di tutta evidenza la necessità che il fornitore diaconto, nella comunicazione al Garante, della politica di sicurezza attuata eche descriva anche le conseguenze della violazione verificatasi e le misureproposte o adottate per porvi rimedio, in tal modo consentendo all'Autorità difare le proprie valutazioni e dare eventuali prescrizioni.

7.2.Canale per la comunicazione al contraente o ad altre persone.

Ciascunfornitore dovrà valutare quale sia il canale di comunicazione che consente diraggiungere più facilmente e tempestivamente i soggetti i cui dati sonointeressati dalla violazione. E ciò, sia con riguardo ai contraenti, sia,soprattutto, con riferimento a quelle persone che non sono clienti delfornitore, ma che pure sono state coinvolte dalla violazione e alle quali ilmedesimo fornitore potrà rivolgere una comunicazione diretta laddove dispongadei relativi dati personali di contatto senza necessità di ulteriore raccoltadi informazioni.

Quandoin determinate circostanze non si sia proceduto alla comunicazione individuale-modalità senz'altro da preferire  soprattutto con riferimento ai soggettida ultimo indicati, ma anche in relazione ai clienti del fornitore, nei casi incui sia coinvolto un numero molto elevato di contraenti, si ritiene che ilmedesimo fornitore  possa più facilmente raggiungere lo scopo previstodalla normativa  informare senza ritardo i soggetti i cui dati sonocoinvolti dalla violazione  tramite forme di comunicazione diverse daquella ad personam.

Siritiene, cioè, che in alcuni casi siano più utili forme di comunicazione dicarattere pubblico, quali la diffusione di avvisi su quotidiani, anche on line,oppure per mezzo di emittenti radiofoniche, anche locali. Tali formealternative di comunicazione ai contraenti o alle altre persone coinvolte dallaviolazione vanno ovviamente realizzate anch'esse entro il più breve lasso ditempo e, comunque, entro il termine di 3 giorni indicato ai punti 5 e 7.

7.3.Valutazione del rischio che richiede la comunicazione al contraente o ad altrepersone.

Comesi è detto, è necessario che il fornitore effettui delle valutazioni perdecidere quali misure adottare per ridurre il rischio, attenuare il dannoqualora si verifichi la violazione e decidere se comunicare al contraente e/oalle altre persone, consentendo loro, così, di adottare le precauzioninecessarie.

Talivalutazioni dovrebbero essere svolte sulla base di criteri determinati e comunia tutti i fornitori, in modo tale da porre in campo scelte ponderate econfrontabili. Potrebbero soccorrere, ai fini della suindicata valutazione,innanzitutto elementi quali la quantità e la qualità dei dati coinvolti nellaviolazione.

Atitolo meramente esemplificativo, una violazione che riguardi un solo datopersonale o, anche, più dati personali, non sensibili, di un solo contraente ferma restando la necessità che il fornitore adotti tutte le misure in grado diridurre il danno  potrebbe non dover essere necessariamente comunicataallo stesso ai sensi dell'art. 32-bis, comma 2.

Parimentiimportante e, dunque, da considerare nella valutazione del rischio, è la"attualità" dei dati detenuti, ossia il tempo trascorsodall'acquisizione dei dati stessi e dal loro inserimento nei database delfornitore. Dati più recenti potrebbero infatti destare maggiore interesse pereventuali malintenzionati in quanto è più alta la probabilità che essiesprimano in modo attendibile uno "stato" o una specifica condizione(economica, di salute, abitativa ecc.) in cui si trova l'interessato al momentodell'avvenuta violazione.

Potrebbeessere utile poi, per decidere se comunicare o meno la violazione agliinteressati, considerare gli effetti della violazione stessa e riteneresussistente il pregiudizio per i dati o la vita privata del contraente o dialtra persona quando la violazione "implica, ad esempio, il furto ol'usurpazione d'identità, il danno fisico, l'umiliazione grave o il danno allareputazione in relazione con la fornitura di servizi di comunicazione"(cfr. considerando 61, direttiva 2009/136/Ce).

Pergiungere a valori uniformi e comparabili, i fornitori dovrebbero affrontare lavalutazione del rischio anche con un approccio di tipo quantitativo,individuando in ragione dei succitati attributi dei dati coinvolti nellaviolazione (qualità, quantità, attualità, ecc.), specifiche metriche in gradodi rappresentare gli effetti pregiudizievoli che la stessa potrebbe provocaresull'interessato.

Riepilogando,quindi, potrebbero essere utilizzati quali parametri per la valutazione delrischio:

Ä    icontrolli e le misure di sicurezza già in essere (quale, ad esempio, lacrittografia);

Ä    latipologia dei dati oggetto della violazione (facendo particolare attenzione aidati di traffico telefonico o telematico, nonché alle credenziali diautenticazione utilizzate dagli utenti);

Ä    latipologia della violazione verificatasi (ad esempio, accesso non autorizzatopiuttosto che perdita o distruzione dei dati);

Ä    l'identificabilitàdei contraenti o delle altre persone coinvolte nella violazione (ad esempio,nel caso in cui la violazione abbia avuto ad oggetto più tipologie di datirelative alle medesime persone);

Ä    l'attualitàdei dati oggetto della violazione.

Nellavalutazione di tali criteri indicativi, occorre che il fornitore tenga sempreconto dello specifico contesto nel quale si è verificato l'evento di violazione(vi sono, infatti, ambiti che presentano un maggiore grado di sensibilità,quali a titolo esemplificativo, quello sanitario o militare) e che nel dubbiovenga preso in considerazione il caso peggiore, ossia quello nel quale lariservatezza o i dati personali dei contraenti o delle altre persone sianoeffettivamente pregiudicati dall'evento (ad esempio, la possibile esposizione afrodi nel caso di perdita di dati relativi alla carta di credito degliinteressati).

8. Conseguenze per le ipotesi del mancato rispettodei nuovi obblighi di sicurezza.

Perle ipotesi di violazione dei nuovi obblighi di sicurezza, il d.lg. n. 69/2012ha introdotto nel Codice nuove e specifiche sanzioni amministrative (cfr. art.162-ter) ed ha esteso quella penale prevista dall'art. 168 all'ipotesi difalsità nelle notificazioni al Garante ai sensi dell'art. 32-bis, commi 1 e 8.

L'art.162-ter stabilisce che la omessa comunicazione della violazione di datipersonali al Garante ex art. 32-bis, comma 1,  nonché la ritardatacomunicazione, ossia quella effettuata oltre i termini indicati al punto 5, èpunita con la sanzione amministrativa del pagamento di una somma daventicinquemila euro a centocinquantamila euro; la omessa comunicazione dellaviolazione di dati personali al contraente o ad altra persona ex 32-bis, comma2, nonché la ritardata comunicazione, ossia quella effettuata oltre i terminiindicati al punto 7, è punita con la sanzione amministrativa del pagamento diuna somma da centocinquanta euro a mille euro per ciascun contraente o altrapersona interessata.

Intale ipotesi, poi, il fornitore non può beneficiare del cumulo giuridico di cuiall'art. 8 della legge n. 689/1981 e, tuttavia, la sanzione non può essereapplicata in misura superiore al 5 per cento del volume d'affari realizzatodallo stesso nell'ultimo esercizio chiuso anteriormente alla notificazionedella contestazione della violazione amministrativa, ferma restando lapossibilità di aumento fino al quadruplo se le sanzioni risultino inefficaci inragione delle condizioni economiche del contravventore, ai sensi dell'art.164-bis, comma 4 (cfr. art. 162-ter, commi 2 e 3).

Aisensi dell'art. 162-ter, comma 4, la violazione della disposizione concernentela tenuta di un aggiornato inventario delle violazioni di dati personali, èpunita con la sanzione amministrativa del pagamento di una somma da ventimilaeuro a centoventimila euro.

Lemedesime sanzioni previste per i fornitori si applicano anche nei confronti deisoggetti ai quali sia stata affidata l'erogazione dei servizi, qualora talisoggetti abbiano omesso di comunicare senza ritardo al fornitore tutte le informazioninecessarie allo stesso per adempiere ai propri obblighi (art. 162-ter, comma5).

L'art.168 punisce, poi, salvo che il fatto costituisca più grave reato, con lareclusione da sei mesi a tre anni il fornitore che dichiari o attestifalsamente notizie o circostanze, o produca atti o documenti falsi in occasionedella comunicazione al Garante conseguente alla violazione di dati personali,nonché i soggetti, cui sia affidata l'erogazione del servizio, che effettuinofalse comunicazioni al fornitore.

TUTTO CIO' PREMESSO IL GARANTE

aisensi dell'art. 32-bis, comma 6, del Codice, stabilisce che i fornitori diservizi di comunicazione elettronica accessibili al pubblico come specificatiin premessa sono tenuti a:

a.provvedere ad una prima, seppur sommaria, comunicazione al Garante dellaviolazione dei dati personali subita entro il termine di 24 ore dall'avvenutaconoscenza della violazione, fornendo gli eventuali elementi ulteriori entro 3giorni dalla stessa;

b.indicare nella comunicazione al Garante  laddove la scoperta dellaviolazione non sia stata contestuale al verificarsi dell'evento  leragioni che non hanno consentito l'immediata rilevazione dell'evento medesimo ele misure adottate o che si intende adottare affinché ciò non si ripeta;

c.fornire al Garante, sin dalla prima comunicazione dell'avvenuta violazione deidati personali, almeno le seguenti informazioni:

1.i dati identificativi del fornitore;

2.una breve descrizione della violazione;

3.l'indicazione della data anche presunta della violazione e del momento dellasua scoperta;

4.l'indicazione del luogo in cui è avvenuta la violazione dei dati, specificandoaltresì se essa sia avvenuta a seguito di smarrimento di dispositivi o disupporti portatili;

5.l'indicazione della natura e della tipologia dei dati anche solopresumibilmente coinvolti;

6.una sintetica descrizione dei sistemi di elaborazione o di memorizzazione deidati coinvolti, con indicazione della loro ubicazione.

d.provvedere alla comunicazione ai contraenti o alle altre persone alle quali siriferiscono i dati personali oggetto della violazione entro il termine di 3giorni dall'avvenuta conoscenza della violazione;

e.registrare nell'inventario il data breach che li ha coinvolti contestualmentealla comunicazione al Garante indicata al punto 5, avendo cura poi di inseriretempestivamente gli elementi che dovessero emergere successivamente, ancheall'esito di ulteriori verifiche.

Sidispone che copia del presente provvedimento sia trasmessa al Ministero dellagiustizia ai fini della sua pubblicazione sulla Gazzetta Ufficiale dellaRepubblica italiana a cura dell'Ufficio pubblicazione leggi e decreti.

Roma, 4 aprile 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia

(*) Il modello va aperto,compilato e, dopo aver apposto la firma digitale, salvato come un file.pdf sul proprio computer. Infine, il modello va inviato al Garante unicamente tramite posta PEC all'indirizzo: dcrt@pec.gpdp.it.

VIOLAZIONE DI DATI PERSONALI

Allegato1

Modello di comunicazione al Garante (fac simile -per le comunicazioni utilizzare ESCLUSIVAMENTE il MODELLO PDFappositamente predisposto)

1.Titolare che effettua la comunicazione:

a.Denominazione o ragione sociale:

b. Sededel titolare:

c.Persona fisica addetta alla comunicazione:

d.Funzione rivestita:

e.Indirizzo email per eventuali comunicazioni:

f.Recapito telefonico per eventuali comunicazioni:

2.Natura della comunicazione:

a. Nuovacomunicazione (inserire contatti per eventuali chiarimenti, se diversi daquelli sub 1.):

b.Seguito di precedente comunicazione (inserire numero di riferimento):

b.1.Inserimento ulteriori informazioni sulla precedente comunicazione:

b.2.Ritiro precedente comunicazione (inserire le ragioni del ritiro):

3. Brevedescrizione della violazione di dati personali:

4.Quando si è verificata la violazione di dati personali?

a. Il ä

b. Trail ä.. e il ä..

c. In untempo non ancora determinato

d. »possibile che sia ancora in corso

5. Dove èavvenuta la violazione dei dati? (Specificare se sia avvenuta a seguito dismarrimento di dispositivi o di supporti portatili)

6.Modalità di esposizione al rischio:

a. tipodi violazione:

a.1.lettura (presumibilmente i dati non sono stati copiati)

a.2.copia (i dati sono ancora presenti sui sistemi del titolare)

a.3.alterazione (i dati sono presenti sui sistemi ma sono stati alterati)

a.4.cancellazione (i dati non sono più sui sistemi del titolare e non li ha neppurel'autore della violazione)

a.5.furto (i dati non sono più sui sistemi del titolare e li ha l'autore dellaviolazione)

a.6.altro [specificare]

b.dispositivo oggetto della violazione:

b.1.computer

b.2.dispositivo mobile

b.3.documento cartaceo

b.4.file o parte di un file

b.5.strumento di backup

b.6.rete

b.7.altro [specificare

7.Sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei daticoinvolti, con indicazione della loro ubicazione:

8.Quante persone sono state colpite dalla violazione di dati personali?

a.[numero esatto] persone

b. Circa[numero] persone

c. Unnumero (ancora) sconosciuto di persone

9. Chetipo di dati sono coinvolti nella violazione?

a. Datianagrafici

b.Numeri di telefono (fisso o mobile)

c.Indirizzi di posta elettronica

d. Datidi accesso e di identificazione (user name, password, customer ID, altro)

e. Datidi pagamento (numero di conto corrente, dettagli della carta di credito, altro)

f. Altridati personali (sesso, data di nascita/età, ä), dati sensibili e giudiziari

g.Ancora sconosciuto

h. Altro[specificare]

10.Livello di gravità della violazione di dati personali (secondo le valutazionidel titolare):

a.Basso/trascurabile

b. Medio

c. Alto

d. Moltoalto

11.Misure tecniche e organizzative applicate ai dati colpiti dalla violazione:

12. Laviolazione è stata comunicata anche a contraenti (o ad altre personeinteressate)?

a. Sì, èstata comunicata il ä.

b. No,perché [specificare]

13.Qual èil contenuto della comunicazione ai contraenti (o alle altre personeinteressate)? [riportare il testo della notificazione]

14.Quale canale è utilizzato per la comunicazione ai contraenti (o alle altrepersone interessate)?

15.Quali misure tecnologiche e organizzative sono state assunte per contenere laviolazione dei dati e prevenire simili violazioni future?

16. Laviolazione coinvolge contraenti (o altre persone interessate) che si trovano inaltri Paesi EU?

a. No

b. Si

17. Lacomunicazione è stata effettuata alle competenti autorità di altri Paesi EU?

a. No

b. Si[specificare]