I mercoledì della privacy: l'invio di una mail a un destinatario errato è un data breach? Le regole da seguire

Per il Garante, una violazione dei dati o data breach è «una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati». Il rischio di una violazione dei dati ricade sugli interessati e, nell’ambito che ci occupa, un data breach subito da un amministratore, può comportare rischi in primis sui singoli condòmini, in quanto potrebbero vedersi compromessa la riservatezza, l'integrità o la disponibilità di dati personali.

Uno studio di amministrazione organizzato deve prevedere, all'interno della propria struttura, un protocollo per gestire queste situazioni di data breach. La procedura tecnica e organizzativa in questione, indipendentemente dal verificarsi o meno di incidenti sui dati (e quindi by default, secondo l'articolo 25 del Gdpr), deve rinvenirsi in un documento scritto, denominato Policy privacy o Manuale privacy. Il suddetto manuale deve essere messo a disposizione dell'Autorità preposta in caso di controllo e deve essere posto come base fondante della formazione “instruction” prevista dall'articolo 29 del Gdpr, che il titolare dello studio deve far effettuare al proprio personale. Senza una collaudata organizzazione e delle procedure testate e revisionate con costante periodicità, appare difficile riuscire a dimostrare di aver adempiuto al principio dell'accountability che, mai come in questi casi, deve intendersi come una vera e propria forma mentis del titolare/responsabile del trattamento, che sia indirizzata a far propri, in maniera proattiva, i principi imposti dal Gdpr come la minimizzazione, la finalità, la privacy by design e by default.

Occorre quindi implementare, al fine di mitigare i rischi, delle buone politiche di sicurezza informatica che consentano di tutelare i dati dei condòmini amministrati ed evitare anche di mettere a repentaglio il proprio business, che potrebbe essere seriamente compromesso sia a seguito di una violazione (e conseguente sanzione e/o azione risarcitoria), sia a causa dei danni che potrebbe generare un attacco esterno che vada a “bucare” dati patrimoniali o il know – how dello studio.

Uno dei ruoli “attivi” in capo al titolare del trattamento e, in questo caso, proprio in capo all'amministratore di condominio, è previsto nella comunicazione relativa a una violazione dei dati personali al Garante prima ed eventualmente all’interessato poi, quando questa sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In questo caso, l'amministratore di condominio deve comunicare la violazione al Garante senza ingiustificato ritardo entro 72 ore dall’avvenuta conoscenza del data breach, utilizzando il modello messo a disposizione dall’Autorità. Secondo l'Authority però, vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Le altre violazioni, che non possono comportare effetti del genere sui singoli, necessitano l'applicazione di una procedura più soft, consistente nella semplice annotazione della violazione all'interno di un apposito registro, denominato “registro delle violazion” e una valutazione dei rischi dalla quale si evinca la mancanza di pericolo per le persone fisiche.

Si parla di effetti significativi laddove la violazione possa comportare, ad esempio, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

In questi casi, dovrà procedersi all'invio della comunicazione a opera dell'amministratore anche laddove la violazione dei dati riguardi il condominio amministrato e, quindi, i dati dei condòmini in esso presenti. Infatti, come prescrive l'articolo 28 del Gdpr, il responsabile del trattamento dati (quindi laddove ne rivesta il ruolo lo stesso amministratore), deve procedere a inviare le comunicazioni al Garante laddove non sia nella possibilità di farlo il titolare del trattamento (condominio). Fattispecie perfettamente calzante con l'ambito condominiale. La comunicazione in questione, che deve descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali e le informazioni sulle probabili conseguenze, deve indicare anche le misure adottate o che propone di adottare l'amministratore per conto del condominio per porre rimedio alla violazione dei dati personali e anche, eventualmente, per attenuarne i possibili effetti negativi.

Molte volte si è discusso su quali fattispecie possono ricadere nella violazione dei dati così come intesa nel Gdpr e necessitare della comunicazione al Garante rispetto alla casistica di un data breach meno pericoloso, tale da giustificare la semplice annotazione nel “registro delle violazioni”. In tal senso, alcuni possibili esempi di casistiche che rendono necessario il passaggio al Garante possono essere l'accesso o l'acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, la deliberata alterazione di dati personali, l'impossibilità di accedere alle informazioni per cause accidentali o per attacchi esterni (virus, malware, etc.), la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, la divulgazione non autorizzata dei dati personali. In questi casi, l’amministratore deve notificare la violazione, «senza ingiustificato ritardo», entro 72 ore dal momento in cui ne è venuto a conoscenza, «a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche».

All’esito della notifica, il Garante può prescrivere misure correttive (vedi articolo 58, paragrafo 2, del Regolamento UE 2016/679), laddove sia rilevata una violazione delle disposizioni del regolamento stesso. Ma gli organi ispettivi possono anche infliggere sanzioni che vanno a riguardare non solo l’omessa o inidonea notificazione della violazione o l’errata tenuta del registro, ma anche l'adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Il Gdpr, inoltre, disciplina l’opportunità di effettuare la successiva comunicazione all’interessato, la quale non è richiesta, in due circostanze: a) se sono state messe in atto le misure tecniche e organizzative adeguate di protezione e tali misure, come ad esempio la cifratura, erano state applicate ai dati personali oggetto della violazione al fine di renderli incomprensibili a chiunque non sia stato autorizzato ad accedervi; b) sono state adottate ex post misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.

L'invio di una mail contenente dati personali di un individuo ad altro soggetto, si evidenzia, non possa farsi rientrare nell'elenco degli esempi delle violazioni particolarmente rilevanti, tali da necessitare la comunicazione al Garante per la protezione dei dati personali. Quindi, laddove l’amministratore ritenga che la perdita del dato non comporti rischi per gli interessati, si deve procedere ad effettuare l'annotazione nel registro e ad effettuare una valutazione del rischio. Di entrambi i passaggi occorre tenere traccia, per poterne fornire evidenza documentale in caso di richiesta da parte degli organi ispettivi.