Data Breach: the New European Committee Guidelines

  • Posted By Pierangela Rodilosso
  • |
  • 15 February 2021
  • |
  • 0 comments
Data Breach: the New European Committee Guidelines

Sharing is caring!

On 14 January 2021, the European Data Protection Board (after this also just the “Board”) published Guidelines 01/2021, which provide personal data controllers with a set of practical examples relating to the notification of security breaches to the Supervisory Authority, required by Article 33 of Regulation (EU) 2016/679 (after this the “Regulation” or the “GDPR”).

The document above complements the WP 250 Guidelines on personal data breach notification, published by the Art. 29 Working Party in October 2017. It brings together the common experience gained by European supervisory authorities since the GDPR became applicable. Therefore, the aim of Guidelines 01/2021 is to help data controllers in the management of data breaches and indicate the factors to be considered during the risk assessment.

In particular, in the document recently published by the Committee, various cases of ransomware (a type of malware that restricts access to the infected device, requiring a ransom to be paid to remove the restriction) and data exfiltration attacks (the unauthorised copying or transfer of data) have been analysed, as well as some cases relating to internal risks from human resources, the cases of lost or stolen devices and paper documents, the sending of mail containing personal data by mistake, mail exfiltration and identity theft.

The Committee recalls in the Guidelines the definition of ‘personal data breach’ provided by the GDPR in Article 4(12), i.e. a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of or access to personal data transmitted, stored or otherwise processed’.

On this point, in its Opinion, 03/2014, the Article 29 Working Party specified that violations could be distinguished into: “breach of confidentiality” (when there is an unauthorised or accidental disclosure of or access to personal data); “breach of integrity” (when there is an unauthorised or accidental alteration of personal data); “breach of availability” (when there is an accidental or unauthorised loss of access to, or destruction of, personal data).

In the Guidelines, the Committee also highlighted that a breach can potentially consist of physical, tangible or intangible harm to individuals and may involve loss of control over their personal data, limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised cancellation of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy and/or any other significant economic or social disadvantage to them. Indeed, one of the most important obligations of data controllers is to assess these risks to the rights and freedoms of data subjects and to implement appropriate technical and organisational measures to address them.

Therefore, the Committee points out, under the provisions of the GDPR, each data controller must document any personal data breach, including the facts surrounding the violation, the effects of the breach and the corrective actions taken; notify the breach to the supervisory authority, unless it is unlikely to result in a risk to the rights and freedoms of natural persons; and communicate the breach to the data subject when it is likely to result in a high risk to the rights and freedoms of natural persons.

In any case, the Committee notes that it is generally preferable to prevent data breaches by taking the appropriate measures in advance to avoid consequences that could be irreversible by their nature.

Moreover, the Committee believes that before completing the risk assessment of a breach caused by some form of attack, the data controller should necessarily identify the root cause of the problem to determine whether the vulnerabilities that gave rise to the incident are still present.

Therefore, it would be desirable for data controllers, the Committee stresses, to put in place plans and procedures to deal with possible data breaches and have clear reporting lines and persons responsible for the data recovery process within their organisation.

****

DATA BREACH: LE NUOVE LINEE GUIDA DEL COMITATO EUROPEO

 

Il 14 gennaio 2021 il Comitato Europeo per la Protezione dei Dati (di seguito anche solo il “Comitato”) ha pubblicato le Linee Guida 01/2021, che forniscono ai titolari del trattamento di dati personali una serie di esempi pratici relativi alla notifica delle violazioni di sicurezza all’Autorità di Controllo, prevista dall’art. 33 del Regolamento (UE) 2016/679 (di seguito il “Regolamento” o il “GDPR”).

Il documento suddetto integra le Linee Guida WP 250 in materia di notifica delle violazioni di dati personali, pubblicate dal Gruppo di Lavoro “Art. 29” nell’ottobre 2017 e raggruppa l’esperienza comune acquisita dalle autorità di controllo europee da quando il GDPR è diventato applicabile. L’obiettivo delle Linee Guida 01/2021 è, dunque, quello di aiutare i titolari del trattamento nella gestione delle violazioni dei dati e di indicare i fattori da considerare durante la valutazione del rischio.

In particolare, nel documento recentemente pubblicato dal Comitato, sono stati analizzati vari casi di ransomware (un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione), nonchè di attacchi di esfiltrazione dati (la copia o il trasferimento, non autorizzati, di dati), ed inoltre alcune fattispecie relative ai rischi interni provenienti dalle risorse umane, i casi dei dispositivi e dei documenti cartacei smarriti o rubati, dell’invio per errore di posta contenente dati personali, di esfiltrazione di posta e il furto d’identità.

Il Comitato richiama, nelle Linee Guida in commento, la definizione di “violazione dei dati personali” fornita dal GDPR all’articolo 4, par. 12, ovvero “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Sul punto, nel suo parere 03/2014, il Gruppo di Lavoro “Art. 29” ha precisato che le violazioni possono essere distinte in: “violazione della riservatezza” (quando si verifica una divulgazione non autorizzata o accidentale di dati personali o l’accesso agli stessi); “violazione dell’integrità” (quando si verifica un’alterazione non autorizzata o accidentale dei dati personali); “violazione della disponibilità” (quando si verifica una perdita accidentale o non autorizzata dell’accesso a, o distruzione di dati personali).

Nelle Linee Guida in parola, il Comitato ha altresì evidenziato come una violazione possa potenzialmente consistere in un danno fisico, materiale o immateriale per gli individui e possa comportare la perdita di controllo sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto di identità o la frode, la perdita finanziaria, l’annullamento non autorizzato della pseudonimizzazione, il danno alla reputazione, la perdita di riservatezza dei dati personali protetti da segreto professionale e/o qualsiasi altro svantaggio economico o sociale significativo per essi. Infatti, uno degli obblighi più importanti dei titolari del trattamento è quello di valutare questi rischi per i diritti e le libertà degli interessati e di attuare misure tecniche ed organizzative adeguate per affrontarli.

Pertanto, precisa il Comitato, in ottemperanza alle previsioni del GDPR, ciascun titolare del trattamento deve documentare qualsiasi violazione dei dati personali, compresi i fatti relativi alla violazione, gli effetti di questa e le azioni correttive adottate; notificare la violazione all’autorità di controllo, a meno che sia improbabile che questa comporti un rischio per i diritti e le libertà delle persone fisiche; comunicare la violazione all’interessato quando è probabile che da questa derivi un rischio elevato per i diritti e le libertà delle persone fisiche.

In ogni caso, osserva il Comitato, in linea generale è preferibile prevenire le violazioni dei dati ponendo in essere le opportune misure in anticipo, onde evitare conseguenze che, per loro natura, potrebbero essere irreversibili.

Inoltre, secondo il Comitato, prima di completare la valutazione del rischio derivante da una violazione causata da una qualche forma di attacco, il titolare del trattamento dovrebbe necessariamente identificare la causa principale del problema, al fine di individuare se le vulnerabilità che hanno dato origine all’incidente siano ancora presenti.

Sarebbe quindi auspicabile per i titolari del trattamento, sottolinea il Comitato, predisporre piani e procedure per gestire eventuali violazioni dei dati e poter contare, nell’ambito della propria organizzazione, su linee chiare di reporting e su persone responsabili della procedura di recupero dei dati.

 

 

 

 

Leave a Comment

shares