Mostra tutti

Che cos’è una violazione dei dati personali secondo le direttive del GDPR

Che cos’è una violazione dei dati personali secondo le direttive del GDPR

1.  Definizione

Per poter porre rimedio a una violazione occorre innanzitutto che il titolare del trattamento sia in grado di riconoscerla. All’articolo 4, punto 12, il regolamento definisce la “violazione dei dati personali” come segue:

“la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il significato di “distruzione” dei dati personali dovrebbe essere abbastanza chiaro: si ha distruzione dei dati quando gli stessi non esistono più o non esistono più in una forma che sia di qualche utilità per il titolare del trattamento. Anche il concetto di “danno” dovrebbe essere relativamente evidente: si verifica un danno quando i dati personali sono stati modificati, corrotti o non sono più completi. Con “perdita” dei dati personali si dovrebbe invece intendere il caso in cui i dati potrebbero comunque esistere, ma il titolare del trattamento potrebbe averne perso il controllo o l’accesso, oppure non averli più in possesso. Infine, un trattamento non autorizzato o illecito può includere la divulgazione di dati personali a (o l’accesso da parte di) destinatari non autorizzati a ricevere (o ad accedere a) i dati oppure qualsiasi altra forma di trattamento in violazione del regolamento.

Esempio

Un esempio di perdita di dati personali può essere la perdita o il furto di un dispositivo contenente una copia della banca dati dei clienti del titolare del trattamento. Un altro esempio può essere il caso in cui l’unica copia di un insieme di dati personali sia stata crittografata da un ransomware (malware del riscatto) oppure dal titolare del trattamento mediante una chiave non più in suo possesso.

Ciò che dovrebbe essere chiaro è che una violazione è un tipo di incidente di sicurezza. Tuttavia, come indicato all’articolo 4, punto 12, il regolamento si applica soltanto in caso di violazione di dati personali. La conseguenza di tale violazione è che il titolare del trattamento non è più in grado di garantire l’osservanza dei principi relativi al trattamento dei dati personali di cui all’articolo 5 del regolamento. Questo punto mette in luce la differenza tra un incidente di sicurezza e una violazione dei dati personali: mentre tutte le violazioni dei dati personali sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali[1].

I potenziali effetti negativi di una violazione sulle persone fisiche sono esaminati in appresso.

2. Tipi di violazioni dei dati personali

Nel parere 03/2014 sulla notifica delle violazioni, il Gruppo di lavoro ha spiegato che le violazioni possono essere classificate in base ai seguenti tre principi ben noti della sicurezza delle informazioni:

  • “violazione della riservatezza”, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
  • “violazione dell’integrità”, in caso di modifica non autorizzata o accidentale dei dati personali;
  • “violazione della disponibilità”, in caso di perdita, accesso[3] o distruzione accidentali o non autorizzati di dati personali.

Va altresì osservato che, a seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.

Mentre stabilire se vi sia stata una violazione della riservatezza o dell’integrità è relativamente evidente, può essere meno ovvio determinare se vi è stata una violazione della disponibilità. Una violazione sarà sempre considerata una violazione della disponibilità se si è verificata una perdita o una distruzione permanente dei dati personali.

Esempi di perdita di disponibilità possono aversi quando i dati vengono cancellati accidentalmente o da una persona non autorizzata, oppure, in caso di dati crittografati in maniera sicura, quando la chiave di decifratura viene persa.

Se il titolare del trattamento non è in grado di ripristinare l’accesso ai dati, ad esempio ricorrendo a un backup, la perdita di disponibilità sarà considerata permanente.

Può verificarsi perdita di disponibilità anche in caso di interruzione significativa del servizio abituale di un’organizzazione, ad esempio un’interruzione di corrente o attacco da “blocco di servizio” (denial of service) che rende i dati personali indisponibili.

Ci si potrebbe chiedere se una perdita temporanea della disponibilità dei dati personali costituisca una violazione e, in tal caso, se si tratti di una violazione che richiede la notifica. L’articolo 32 del regolamento (“Sicurezza del trattamento”) spiega che nell’attuare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, si dovrebbe prendere in considerazione, tra le altre cose, “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.

Di conseguenza, un incidente di sicurezza che determina l’indisponibilità dei dati personali per un certo periodo di tempo costituisce una violazione, in quanto la mancanza di accesso ai dati può avere un impatto significativo sui diritti e sulle libertà delle persone fisiche. Va precisato che l’indisponibilità dei dati personali dovuta allo svolgimento di un intervento di manutenzione programmata del sistema non costituisce una “violazione della sicurezza” ai sensi dell’articolo 4, punto 12.

Come nel caso della perdita o distruzione permanente dei dati personali (o comunque di qualsiasi altro tipo di violazione), una violazione che implichi la perdita temporanea di disponibilità dovrebbe essere documentata in conformità all’articolo 33, paragrafo 5. Ciò aiuta il titolare del trattamento a dimostrare l’assunzione di responsabilità all’autorità di controllo, che potrebbe chiedere di consultare tali registrazioni[4]. Tuttavia, a seconda delle circostanze in cui si verifica, la violazione può richiedere o meno la notifica all’autorità di controllo e la comunicazione alle persone fisiche coinvolte. Il titolare del trattamento dovrà valutare la probabilità e la gravità dell’impatto dell’indisponibilità dei dati personali sui diritti e sulle libertà delle persone fisiche. Conformemente all’articolo 33, il titolare del trattamento dovrà effettuare la notifica a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Questo punto dovrà chiaramente essere valutato caso per caso.

Esempi

L’indisponibilità, anche solo temporanea, di dati medici critici di pazienti di un ospedale potrebbe presentare un rischio per i diritti e le libertà delle persone interessate, poiché, ad esempio, potrebbe comportare l’annullamento di operazioni e mettere a rischio le vite dei pazienti.

Viceversa, se i sistemi di una società di comunicazione non sono disponibili per diverse ore (ad esempio a causa di un’interruzione dell’alimentazione) e tale società non riesce a inviare newsletter ai propri abbonati è improbabile che ciò presenti un rischio per i diritti e le libertà delle persone fisiche.

Va notato che, sebbene una perdita di disponibilità dei sistemi del titolare del trattamento possa essere solo temporanea e non avere un impatto sulle persone fisiche, è importante che il titolare del trattamento consideri tutte le possibili conseguenze della violazione, poiché quest’ultima potrebbe comunque dover essere segnalata per altri motivi.

Esempio

Un’infezione da ransomware (software dannoso che cifra i dati del titolare del trattamento finché non viene pagato un riscatto) potrebbe comportare una perdita temporanea di disponibilità se i dati possono essere ripristinati da un backup. Tuttavia, si è comunque verificata un’intrusione nella rete e potrebbe essere richiesta una notifica se l’incidente è qualificato come violazione della riservatezza (ad esempio se chi ha effettuato l’attacco ha avuto accesso a dati personali) e ciò presenta un rischio per i diritti e le libertà delle persone fisiche.

3. Possibili conseguenze di una violazione dei dati personali

Una violazione può avere potenzialmente numerosi effetti negativi significativi sulle persone fisiche, che possono causare danni fisici, materiali o immateriali, ad esempio la perdita del controllo da parte degli interessati sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale, nonché qualsiasi altro danno economico o sociale significativo alle persone fisiche interessate[5].

Di conseguenza, il regolamento impone al titolare del trattamento di notificare le violazioni all’autorità di controllo competente, fatta salva l’improbabilità che la violazione presenti il rischio che si verifichino detti effetti negativi. Laddove sia altamente probabile che tali effetti negativi si verifichino, il regolamento impone al titolare del trattamento di comunicare la violazione alle persone fisiche interessate non appena ciò sia ragionevolmente fattibile[6].

L’importanza di essere in grado di identificare una violazione, di valutare il rischio per le persone fisiche e, di conseguenza, di effettuare la notifica se necessario, è sottolineata nel considerando 87 del regolamento:

“È opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato. È opportuno stabilire il fatto che la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l’interessato. Siffatta notifica può dar luogo a un intervento dell’autorità di controllo nell’ambito dei suoi compiti e poteri previsti dal presente regolamento”.

Ulteriori linee guida sulla valutazione del rischio di effetti negativi per le persone fisiche sono considerate nella sezione IV WP250rev.01.

Se il titolare del trattamento omette di notificare una violazione dei dati all’autorità di controllo o agli interessati oppure a entrambi, nonostante siano soddisfatte le prescrizioni di cui agli articoli 33 e/o 34, l’autorità di controllo dovrà effettuare una scelta e prendere in considerazione tutte le misure correttive a sua disposizione, tra cui l’imposizione di una sanzione amministrativa pecuniaria appropriata[7], in associazione a una misura correttiva ai sensi dell’articolo 58, paragrafo 2, oppure come sanzione indipendente.

Qualora l’autorità opti per una sanzione amministrativa pecuniaria il suo valore può ammontare fino a un massimo di 10 000 000 EUR o fino al 2% del fatturato totale annuo globale di un’impresa ai sensi dell’articolo 83, paragrafo 4, lettera a), del regolamento. È altresì importante ricordare che, in alcuni casi, la mancata notifica di una violazione potrebbe rivelare l’assenza di misure di sicurezza o la loro inadeguatezza. Gli orientamenti del Gruppo di lavoro in materia di sanzioni amministrative affermano che “qualora nell’ambito di un singolo caso siano state commesse congiuntamente più violazioni diverse, l’autorità di controllo può applicare le sanzioni amministrative pecuniarie a un livello che risulti effettivo, proporzionato e dissuasivo entro i limiti della violazione più grave”. In tal caso, l’autorità di controllo avrà altresì la possibilità di comminare sanzioni per la mancata notifica o comunicazione della violazione (articoli 33 e 34), da un lato, e l’assenza di misure di sicurezza (adeguate) (articolo 32), dall’altro, in quanto si tratta di due infrazioni separate.

[1] Va osservato che un incidente di sicurezza non si limita ai modelli di minacce nei quali un attacco viene effettuato ai danni di un’organizzazione dall’esterno della stessa, bensì include anche incidenti derivanti dal trattamento interno che violano i principi di sicurezza. [2] Cfr. parere 03/2014. [3] È un fatto assodato che “l’accesso” è una componente fondamentale della “disponibilità”. Cfr. ad esempio il documento NIST SP800-53rev4, che definisce la “disponibilità” come la “garanzia di un accesso e un uso tempestivi e affidabili delle informazioni”, disponibile (in inglese) all’indirizzo http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf. Anche il documento CNSSI-4009 fa riferimento a un “accesso tempestivo e affidabile ai dati e ai servizi dell’informazione per gli utenti autorizzati.” Cfr. https://rmf.org/wp-content/uploads/2017/10/CNSSI-4009.pdf. Anche la norma ISO/IEC 27000:2016 definisce la “disponibilità” come la “proprietà di essere accessibile e utilizzabile su richiesta da un soggetto autorizzato”: (in inglese) https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-4:v1:en. [4] Cfr. articolo 33, paragrafo 5. [5] Cfr. anche considerando 85 e 75. [6] Cfr. anche il considerando 86. [7] Per ulteriori dettagli, consultare le linee guida del Gruppo di lavoro riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie disponibili qui.

libro vita da hacker