La Legge federale sulla protezione dei dati – LPD – introduce l’obbligo di notificare le violazioni che comportano un rischio elevato per i diritti fondamentali dell’interessato. Le notifiche devono essere rivolte all’IFPDT e devono essere comunicate anche agli interessati.
La nuova normativa privacy svizzera (Legge federale sulla protezione dei dati – LPD) introduce adempimenti innovativi tesi a responsabilizzare i Titolari del Trattamento nelle scelte assunte in tema di protezione dei dati personali.
Questo principio ha sicuramente ispirato, nello specifico, l’introduzione dell’obbligo di notifica di violazioni della sicurezza dei dati (c.d. data breach).
Cos’è un data breach?
Per data breach si intende una violazione di sicurezza che comporta “verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata” come enuncia la nuova LPD. Tale nozione riprende chiaramente, seppur in modo più generico, da quella fornita dal Regolamento Europeo 2016/679 (General Data Protection Regulation – GDPR). Ciò evidentemente con l’obiettivo di armonizzare la nuova LPD al quadro europeo sancito in materia privacy.
In tale ottica, si può dunque affermare che la violazione di sicurezza consiste in un evento che può potenzialmente compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Alcuni possibili esempi possono consistere:
- nell’accesso o l’acquisizione dei dati da parte di terzi non autorizzati
- nel furto o nella perdita di dispositivi informatici contenenti dati personali
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità
- la divulgazione non autorizzata dei dati personali
Quando, a chi e come notificare/comunicare un data breach?
Quando
La nuova norma svizzera impone di notificare all’Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT) non tutte le violazioni di sicurezza, ma solo quelle che comportano un rischio elevato per la personalità/diritti fondamentali dell’interessato.
Sul punto – in assenza di specifiche della norma sul punto e considerato l’intento di armonizzazione rispetto alla normativa privacy europea – è utile richiamare il GDPR che presenta la necessità di procedere con notifica alla competente autorità di controllo in caso di violazione di dati personali da cui possano scaturire “danni fisici, materiali o immateriali alle persone fisiche”. Riporta poi alcune utili ipotesi esemplificative di tale definizione tra cui:
- perdita di controllo dei dati personali degli interessati o limitazione dei loro diritti
- discriminazione, furto o usurpazione d’identità
- perdite finanziarie
A chi
vanno inoltre comunicate agli interessati “se ciò è necessario per proteggere la persona interessata o se lo esige l’IFPDT”. La comunicazione può essere evitata in presenza di ipotesi tassative previste dalla norma in esame (es. presenza di un obbligo legale al segreto, sforzo sproporzionato o impossibile richiesto al Titolare per ottemperare a tale adempimento).
Aspetti pratici:
Come best practice, si suggerisce di valutare una comunicazione nei confronti degli interessati ogniqualvolta si presenti un rischio elevato tale da comportare un effetto avverso sulla personalità e diritti degli stessi. Infatti, se il rischio è elevato sussiste certamente una necessità di tutelare l’interessato.
Rispetto alle casistiche che impongono al Titolare di procedere con tale adempimento occorrerà poi attendere indicazioni di maggior dettaglio da parte dell’IFDPT stesso.
Come
La nuova LPD non prevede ad oggi una modulistica specifica per la notifica di data breach, impone infatti la sola presenza di alcuni requisiti minimi ovvero:
- tipo di violazione della sicurezza dei dati personali
- le sue conseguenze
- le misure disposte o previste
Per quanto riguarda la comunicazione di violazioni di dati personali agli interessati non è viceversa previsto alcun vincolo di contenuto.
Aspetti pratici:
Si suggerisce al Titolare di dotarsi preventivamente di uno standard/template di notifica all’IFPDT e di comunicazione agli interessati, al fine di gestire agevolmente ed efficacemente eventuali violazioni di dati personali. Si rammenta inoltre l’importanza di documentare ogni analisi effettuata dal Titolare rispetto al data breach notificato, in particolar modo allegando evidenza circa le azioni di remediation poste in essere al fine di dimostrare la capacità dell’azienda di gestire episodi di tal genere.
Considerazioni conclusive
Le violazioni di sicurezza dei dati personali sono ad oggi oggetto di forte attenzione da parte delle autorità di controllo europee ed internazionali. In linea con tale tendenza ed in considerazione dell’evidente armonizzazione della normativa privacy elvetica al GDPR, si ritiene che tale tematica sarà certamente oggetto di attente verifiche da parte dell’IFPDT. È dunque importante che ogni Titolare del Trattamento si doti di una procedura di data breach, in quanto strumento fondamentale per consentire un’efficace gestione di eventuali violazioni di dati e cruciale ai fini della c.d. accountability aziendale. In presenza di tale documento, infatti, il Titolare potrà certamente dimostrare in modo agevole l’analisi effettuata sui principali rischi derivanti dal proprio specifico business, nonché l’esistenza di un awareness sul tema da parte dell’azienda stessa.
Articolo a cura di Valentina Marzorati | Legal Compliance Officer, Privacy Desk Suisse
