Il data breach, ovvero la violazione dei dati personali

Per violazione dei dati personali si intende qualsiasi trattamento illegittimo dei dati personali relativi a persone fisiche, violazione che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati. Quindi potrà essere qualificato come data breach sia un accesso abusivo ai dati di un sistema informatico, ma anche qualsiasi accesso ai dati personali che sia illegittimo e rilevante, nonché ogni evento che determini l’illegittima divulgazione o modifica, oppure la perdita della disponibilità dei dati personali trattati. La violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità dei dati stessi.

Esempi pratici di data breach si ravvisano:

 nell’accesso o nell’acquisizione dei dati da parte di terzi non autorizzati, come un attacco hacker, che costituisce una delle principali cause di violazione di dati personali;

33

 nel furto o nello smarrimento di dispositivi informatici contenenti dati personali non adeguatamente protetti (es. un driver portatile);

 nell’impossibilità di accedere ai dati personali per cause accidentali o per attacchi esterni come i virus;

 nella perdita o distruzione di dati personali a causa di calamità naturali come incendi, allagamenti o altri eventi fortuiti;

 nella divulgazione non autorizzata dei dati personali.

Il Gruppo Articolo 29 distingue tre macro-categorie di data breach:

1. Confidentiality Breach, in caso di accesso accidentale/abusivo ai dati personali;

2. Availibility Breach, se vi è una perdita/distruzione accidentale o non autorizzata di dati personali;

3. Integrity Breach, se siamo in presenza di alterazioni accidentali o non autorizzate dei dati personali.

Queste tre distinzioni di violazione dei dati personali servono per costituire un processo per la valutazione del data breach, ovvero la valutazione del rischio effettivo a cui sono esposti i dati personali, e quindi degli impatti nel caso in

34

cui si verificasse una particolare violazione, calcolato in base alle misure di sicurezza adottate sui sistemi e sulla tipologia dei dati trattati.

Il data breach è disciplinato agli artt. 33 e 34 del Regolamento (UE) 2016/679 e i considerando 85, 86, 87 e 88 sono dedicati proprio a questo istituto.

L’art. 33 del GDPR prevede che il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro settantadue ore dal momento in cui ne è venuto a conoscenza, qualora si verifichi una violazione dei dati personali deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche. Le notifiche al Garante effettuate oltre il termine delle settantadue ore devono essere corredate dei motivi del ritardo.

La notifica di data breach all’Autorità di controllo deve contenere una dettagliata ricostruzione della violazione avvenuta, accompagnata dalla descrizione delle cause che l’hanno determinata, oltre che dalla indicazione delle misure che il titolare del trattamento aveva adottato per evitare proprio la violazione dei dati personali. Inoltre la notifica deve contenere la stima delle possibili conseguenze pregiudizievoli per gli interessati coinvolti dalla violazione, nonché l’indicazione delle misure adottate per contenere e mitigare tali conseguenze pregiudizievoli.

La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it e l’oggetto della mail deve contenere la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI”.

L’art. 34 del GDPR prevede che se la violazione comporta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dei dati personali ha l’obbligo di comunicare l’avvenuta violazione a tutti gli interessati, senza ingiustificato ritardo e con un linguaggio semplice e chiaro;

35

tutto questo per cercare di ridurre le possibili conseguenze pregiudizievoli derivanti dalla violazione.

Il titolare del trattamento dovrà in ogni caso documentare le violazioni di dati personali subite, anche se non notificate, ad esempio predisponendo di un apposito registro delle violazioni, strumento rilevante per soddisfare anche il principio di accountability.

Soltanto il titolare del trattamento che abbia predisposto valide misure di sicurezza, sulla base di valutazioni ispirate da competenza, buona fede e trasparenza, sarà in grado di cooperare efficacemente con l’Autorità di controllo, qualora si verifichi una violazione dei dati personali. Infatti un’impresa o un ente pubblico che subiscono un data breach, potranno essere ritenuti esenti da provvedimenti e sanzioni, soltanto se sarà giudicata adeguata la policy o modello organizzativo privacy adottato in precedenza.

Nei contesti aziendali, nonché negli enti pubblici, è fondamentale predisporre di un modello organizzativo della privacy e della protezione dei dati personali ben strutturato, che preveda un’ efficace procedura da attivare nell’eventualità in cui si verifichi un data breach, coinvolgendo i vari soggetti del trattamento dei dati. Uno dei soggetti coinvolti, qualora l’azienda ne sia dotata, è il Data

Protection Officer che dovrà analizzare e valutare l’accaduto, e dovrà

supportare il titolare del trattamento dei dati personali, fornendogli consulenza con riguardo alla normativa in vigore e alle misure più opportune da adottare. In particolare il DPO ha la delicata funzione di supportare il titolare del trattamento nella scelta di notificare o meno la violazione dei dati personali al Garante e ai diretti interessati.

Non tutti i tipi di violazione devono essere notificati, ma solamente quelli che possono avere conseguenze significative sugli individui, come la perdita del controllo sui propri dati personali, la discriminazione, il furto d’identità, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo

36

danno economico o sociale. Quindi, ai sensi dell’art. 33 del GDPR, il titolare del trattamento dovrà essere in grado di documentare gli elementi concreti su cui fonda l’eventuale valutazione di “archiviare” un data breach, perché in grado di ritenere l’insussistenza di rischi effettivi per i diritti degli interessati, eventualmente grazie alle misure preventive precedentemente poste in essere. Vista e considerata la difficoltà delle valutazioni e delle scelte da compiere in caso di una violazione, possono essere utilizzati degli strumenti in grado di facilitare tali scelte; ad esempio l’Autorità di controllo britannica ICO 31

ha predisposto uno strumento di self-assessment per agevolare la comprensione di quando notificare una violazione ex art. 33 del GDPR, corredato di domande a risposta multipla che consentono di velocizzare le valutazioni da compiere. Qualora si verificasse una violazione dei dati che presenti i requisiti per poter essere notificata e il titolare del trattamento non si attivi per segnalarla ed avviare di conseguenza la procedura di notificazione, si auto-esporrebbe sia alle importanti sanzioni previste per la violazione del GDPR, sia alle eventuali richieste di risarcimento del danno da parte dei singoli interessati.

L’art. 83 del Regolamento (UE) 2016/679, rubricato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, dispone di una serie di criteri che l’autorità di controllo dovrà osservare nell’eventuale applicazione delle sanzioni, tra questi, alcuni riguardano la valutazione delle condotte poste in essere in riferimento ad un data breach. In questo caso “sono previste sanzioni pecuniarie che possono arrivare fino a dieci milioni di Euro, o nel caso di imprese, fino al 2% del fatturato totale annuo mondiale”. 32

31

Information Commissioner’s Office. 32

37

In caso di violazione dei dati personali in Italia è prevista anche l’applicazione di sanzioni penali che nei casi più gravi prevedono un massimo edittale della pena della reclusione fino a sei anni. 33

La disciplina del data breach è permeata da quel principio fondamentale che ispira l’intera riforma della protezione dei dati personali, ovvero il principio di

accountability, chiave di lettura imprescindibile per la corretta comprensione ed

applicazione del Regolamento (UE) 2016/679.

Il Garante per la protezione dei dati personali ha pubblicato lo scorso 30 gennaio, nel suo bilancio del 2018, i risultati riguardanti l’applicazione del GDPR; i numeri confermano che anche in Italia il Regolamento europeo per la protezione dei dati personali inizia ad avere evidenti effetti: “dal 25 maggio al 31 dicembre dello scorso anno, infatti, i reclami e le segnalazioni su possibili violazioni di dati sono state 4.704 rispetto alle 3.378 nello stesso periodo del 2017. Ma il dato più significativo riguarda i 630 casi confermati di notificazioni di data breach, un dato che dovrebbe far riflettere le aziende e le pubbliche amministrazioni sulla necessità di raggiungere tempestivamente il pieno adeguamento al GDPR. 34

Per le aziende e gli enti pubblici non è possibile eliminare il rischio di incorrere in un data breach, per questo investire nella prevenzione è molto importante, perché significa ridurre il rischio di ritrovarsi a pagare costi esorbitanti, derivanti dai danni causati dalla violazione dei dati personali subita in azienda. Quindi per realizzare un trattamento dei dati efficiente è necessario effettuare prima di tutto un’analisi della vulnerabilità del proprio sistema IT, in modo da capire dove l’azienda può imbattersi con maggiore rischio nei

data breach.

A tal proposito l’art. 35 del GDPR disciplina l’istituto della Valutazione

d’impatto sulla protezione dei dati o Data Protection Impact Assessment

33 _{Art. 167-bis Nuovo Codice Privacy – D.lgs. 196/2003 aggiornato al D.lgs. 101/2018.} 34

38

(DPIA). Si tratta di un processo che prevede la descrizione del trattamento dei dati personali, la valutazione di quanto quel trattamento sia necessario e la gestione di eventuali rischi in grado di ledere i diritti e le libertà delle persone fisiche, effettuando così una valutazione del livello del rischio e determinando le misure idonee a mitigarlo. Il DPIA è uno strumento essenziale e fondamentale per tutti i titolari e responsabili del trattamento, al fine di dar corso al nuovo approccio alla protezione dei dati voluto dal legislatore europeo e fortemente basato sul principio di accountability: l’approccio proattivo.