Risposta:

Per spiegare il funzionamento della procedura di cosiddetto "data breach" propongo un caso di vita reale che sintetizzo nei passaggi:

6/9/2018: la piattaforma Rousseau del M5S subisce un attacco hacker che porta alla violazione dei dati personali di alcuni iscritti

6/9/2018: il Garante della privacy annuncia l'avvio di una verifica (non sappiamo se a seguito di notifica ai sensi dell'art. 33 o d'ufficio) "Nuovo attacco hacker a piattaforma Rousseau: il Garante per la privacy avvia verifiche. In relazione alla notizia sul nuovo attacco hacker alla piattaforma Rousseau, il Garante per la protezione dei dati personali informa di aver avviato le prime verifiche, anche al fine di valutare se il data breach sia stato determinato dalle medesime cause riscontrate in passato, già oggetto di un provvedimento del Garante, o se sia stato dovuto ad altre cause. Roma, 6 settembre 2018"

7/9/2018: Ai sensi dell'art. 33 GDPR (In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.) lo Staff del MoVimento 5 Stelle notifica al Garante il data breach

7/9/2018: Ai sensi dell'art. 34 GDPR (Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.) lo Staff del MoVimento 5 Stelle comunica agli iscritti alla piattaforma l'avvenuta violazione con la comunicazione sotto riportata:
******************

Caro iscritto al MoVimento 5 Stelle,

abbiamo ricevuto notizia di un possibile accesso illecito ai dati presenti sul server dei servizi erogati per il MoVimento 5 Stelle e le autorità stanno già indagando - assieme a noi e alcune società che ci supportano - per identificare le eventuali modalità di accesso e ulteriori protezioni da attivare alcune delle quali sono già state messe in piedi. In linea con quanto richiesto dalla nuova normativa sulla protezione dei dati personali (GDPR) ti informiamo di questa potenziale violazione dei tuoi dati.

Nell'ultimo anno abbiamo investito molto in sicurezza.

Alcune di queste attività sono visibili, come l'SMS che ti arriva per poter accedere al sistema (un servizio che quest anno costerà 60 mila euro), o al nuovo livello di complessità delle password che ti viene richiesto di utilizzare. Altre iniziative sono invisibili ai più, ma non per questo meno importanti, come le società ingaggiate per provare a identificare possibili vulnerabilità del sistema o di singoli servizi. Ad esempio, ogni servizio che è stato rilasciato è stato testato e migliorato da società esterne specializzate in sicurezza.

In seguito a questi nuovi attacchi investiremo ancora di più in sicurezza.

Alcuni investimenti importanti sono già stati fatti e altri saranno attivi a breve per un totale di quasi 500 mila euro tra servizi come gli sms, nuova struttura tecnologica con contratto triennale, controlli di sicurezza esterni e sviluppo sistema sperimentale basato su blockchain. Tra gli investimenti più recenti qualche settimana abbiamo siglato un contratto di 209 mila euro in tre anni per una infrastruttura tecnologica ancora più solida e robusta che oltre a poter accogliere molti più iscritti sarà anche più sicura. La sicurezza è una nostra priorità e richiede sforzi e continuità di impegno. Per questo continueremo a lavorare in questa direzione, intensificando la nostra attività di investimento in termini di tempo e di risorse ogni qual volta sia necessario. Ad ogni problema risponderemo con tutte le forze a disposizione per proteggere un progetto che amiamo e nel quale crediamo profondamente.

Grazie per il tuo supporto e la tua partecipazione a questo progetto,

Lo Staff del MoVimento 5 Stelle

******************

Dal punto di vista formale la comunicazione citata NON E' COMPLETA
Infatti l'art. 34 dispone:
2. La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d).
 
Quindi la comunicazione deve contenere:
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
 
c) descrivere le probabili conseguenze della violazione dei dati personali;
 
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
 
Probabilmente nelle 72 il titolare del trattamento procederà ad integrare la comunicazione con queste informazioni aggiuntive (magari inviando comunicazione ai soli soggetti i cui dati sono stati violati)
 
Ricordiamo la sezione di approfondimento sul sito del Garante: https://www.garanteprivacy.it/web/guest/regolamentoue/databreach
 
Linee guida in materia di notifica delle violazioni di dati personali (data breach notification) - WP250, definite in base alle previsioni del Regolamento (UE) 2016/679: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052
 
-----------------------------------------------
Riferimenti normativi:

Artt. 33-34 Regolamento UE 2016/679 (LINK)

Codice della privacy (LINK) e Decreto 101/2018 (LINK)

Per ulteriore materiale visita il Gruppo GDPR in Italia (LINK) e la sezione di approfondimento OV (LINK)

-----------------------------------------------
Contributo a cura di: dott. Simone Chiarelli