Data Breach è in sintesi l'obbligo che hanno i titolari di comunicare al Garante privacy competente i casi di violazioni dati personali se queste presentano rischi per i diritti e le libertà delle persone fisiche (art 33 GDPR). Se poi la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, allora il Titolare dovrà effettuare la comunicazione di avvenuta violazione dati personali anche agli interessati (art 34 GDPR). La comunicazione agli interessati non è obbligatoria solo in casi particolari (esempio non esaustivo: se i dati sono sottoposti a misure di sicurezza quali la cifratura). Gli adempimenti Data Breach si applicano indipendentemente dal settore di attività e dalla dimensione del Titolare (pubblico o privato) che effettua il trattamento dati personali. Da notare che il titolare del trattamento deve prendere anche decisioni (la violazione presenta effettivamente un rischio per le persone? e questi rischi sono anche tali da minare i diritti e le libertà delle persone?). L'inadempienza costa fino a 10 milioni di euro o 2% del fatturato mondiale.
Data Portability è uno dei nuovo diritti sanciti dal GDPR (art 20): l'Interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un Titolare ed ha il diritto di trasmettere tali dati ad un altro Titolare senza impedimenti da parte del Titolare del trattamento cui li ha forniti se il trattamento, effettuato con mezzi automatizzati, si basa sul consenso o su un contratto e se l'esercizio di questo diritto non lede i diritti e le libertà altrui. Tale diritto non si applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il Titolare.
L'Interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile.
A puro titolo di esempio, non esaustivo, sono soggetti alle prescrizioni di Portability i servizi di email, social networking, data storing in cloud computing o meno, ma anche i dati che conserva un professionista al quale una persona fisica ha affidato un incarico (es. un commercialista o un legale). L'inadempienza costa fino a 20 milioni di euro o 4% del fatturato mondiale.
Qualche considerazione combinata
Dovremo dunque aspettarci che per un Titolare che subisce violazioni di dati personali nei suoi sistemi/servizi sia più probabile che un numero maggiori di Interessati richieda di avvalersi del diritto di Portabilità dei loro dati? Questo evidentemente comporterà degli impatti negativi sul business i questi Titolari. Alcuni Titolari potrebbero essere portati a mascherare il più possibile quindi i casi di violazione dati subiti? Potrebbero farlo ad esempio con un uso distorto dei processi decisionali che determinano o meno la notifica/comunicazione della violazione. Oppure potrebbe instaurarsi un volano virtuoso per cui le aziende (Titolari, Responsabili) investiranno di più in misure di sicurezza appropriate quali la cifratura? E come tutto questo potrà essere affrontato dai Titolari ricorrendo a servizi di assicurazione contro i cyber risk?
E gli Interessati come potranno effettivamente far valere il loro diritto alla portabilità dei dati? Perchè dobbiamo riconoscere che un conto è parlare con un piccolo titolare nazionale, un conto è farlo con una multinazionale straniera rispetto la quale è evidente la assoluta mancanza di bilanciamento tra le parti. Forse una maggior rappresentanza degli Interessati tramite apposite organizzazioni potrebbe dare un concreto contributo nel far valere il diritto alla Portability anche nei confronti delle multinazionali.
Sicuramente man mano e con il tempo verranno alla luce altre considerazioni, ma in ogni caso, si prospetta sempre più impegnativo il compito dei garanti privacy e delle autorità giudiziarie che dovranno individuare e sanzionare in modo effettivo, proporzionato e dissuasivo i Titolari che volontariamente non osservano le prescrizioni in oggetto.
Riportate le vostre reazioni, considerazioni, contributi e proposte di affrontare specifici temi nei Gruppi LinkedIn dove compare questo post oppure scrivendo a gloria.marcoccio@glory.it
Data Breach provisions in summary require that Controllers have to notify the competent Supervisory Authority the cases of personal data breaches presenting risks to the rights and freedoms of natural persons (GDPR Article 33). In addition where the breach is likely to present high risk to the rights and freedoms of individuals, Controllers have to communicate the breach to the Data Subjects (GDPR Article 34 ). The communication to the Data Subject is not required only in special cases (not exhaustive example: if the data are subjected to security measures such as encryption). The Data Breach obligations apply regardless of the sector of activity and size of the Controller (public or private) that carries out the personal data processing, Please note the Controller must also make decisions (does the breach really present a risk for people? And are these risks also able to undermine the rights and freedoms of people?). The sanction for non-compliance is up to 10 million EUR or 2% of the worldwide turnover.
Data Portability is one of the new rights enshrined by the GDPR (Article 20): the Data Subject has the right to receive the personal data concerning him or her, which he or she has provided to a Controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another Controller without hindrance from the Controller to which the personal data have been provided, where the processing is based on consent or on a contract provided that the processing is carried out by automated means and the right does not adversely affect rights and freedoms of others. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the Controller.
The Data Subject shall have the right to have the personal data transmitted directly from one Controller to another, where technically feasible.
By way of not exhaustive example, the obligation about Data Portability apply to email services, social networking, data storing in the cloud or not, but also the data kept by a professional to which an individual has given an assignment (eg . an accountant or a lawyer).
The sanction for non-compliance is up to 20 million EUR or 4% of the worldwide
turnover.
A few combined thoughts
So we can envisage that for a Controller who suffers personal data breaches in its systems / services is more likely that a greater number of Data Subjects will exercise the right of portability of their data. This of course will result in negative impacts on business of such Controllers. Maybe some Controllers could mask the longer possible the data breach cases occurred. They could do this for example by a distorted use of the decision-making processes necessary for determining whether or not the notification / communication of the breach must be made. Instead it could activate a virtuous cycle thus the companies (Controllers, Processors) will increase the budgets for implementing appropriate security measures such as encryption. In which way the Controllers could face such issues through insurance services against cyber risk.
Furthermore how the Data Subjects can really exercise their right to data portability: we must be aware that one thing is to interact with a small local Controller, other thing is to interact with a foreign corporation, well evident the full un-balance existing between such parties. Perhaps a better representation of the Data Subjects through appropriate organizations could provide a concrete contribution for the exercise the right to portability with multinational groups.
Surely, gradually and over time, other considerations will come to light, but in any case, it is envisaged very challenging the tasks of Supervisory Authorities as well as of Judicial Authorities consisting in the detection and punishment in an effectively, proportionate and dissuasive way the Controllers who willfully fail to comply the requirements in question.
Please provide your reactions, considerations, contributions and proposals to address specific issues in LinkedIn Groups where this post appears or write to gloria.marcoccio@glory.it.