Approfondimenti

Data Breach e GDPR

30/03/2018

di Avv. Gianluca Marmorato

L’aspetto patologico maggiormente delicato che viene previsto ed analizzato dal GDPR è certamente il cosiddetto “Data Breach”, la cui definizione viene riportata nel medesimo Regolamento all’art. 4.12[1].

Il Legislatore Europeo, nel lungo lavoro che ha comportato la redazione del testo regolamentare che vedrà piena efficacia applicativa  a partire dal 25 maggio 2018, ha posto particolare attenzione alle gravi conseguenze che possano derivare dalla violazione dei dati personali.

I principi che dianzi tenterò di illustrare appaiono mai come in questo periodo attuali, e buona testimonianza di ciò possono essere i gravi accadimenti che recentemente stanno fortemente scuotendo  milioni di utenti di noti social network e società della Tech Economy, con gravi ripercussioni economiche per le aziende coinvolte.

Il Considerando n. 85 individua alcune tra le possibili conseguenze delle violazioni, tra le quali la perdita del controllo dei dati personali o limitazione dei loro diritti, discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale.

Vista la delicatezza dei diritti che potrebbero essere oggetto di violazione, con conseguenti possibili notevoli ripercussioni economiche e di reputazione per il titolare del trattamento e degli interessati, si comprende la ragione che ha spinto il Legislatore a prevedere la necessità della predisposizione di tutte le  misure opportune ad evitare l’accadimento di tali eventi.

Cercando di fare chiarezza sulla terminologia utilizzata dagli Organi Europei, il Data Breach si concretizza nella perdita dei dati trattati, ovvero nella loro distruzione non autorizzata, divulgazione ed accesso posto in essere ad opera di soggetti non autorizzati.

Nella pratica, i concetti cennati possono essere identificati in attività e fatti di varia natura, con gravità diverse, e da cui ricadono azioni preliminari e successive difformi in capo al responsabile del trattamento.

La violazione dei dati può avvenire in buona sostanza a seguito di fatti ed accadimenti che rientrano in varie tipologie di azioni:

  • Errore umano – identifica tutte quelle attività riconducibili ad attività non volute (smarrimento di smartphone, tablet, PC, usb drive) che determinano la possibile fuoriuscita di dati in modo incontrollato e non tracciato.
  • Attività infedele – attiene alle attività che possono essere compiute ad opera di personale interno al soggetto titolare dei dati, in grado di accedere ai dati (modifica non autorizzata, rivelazione non autorizzata, furto).
  • Accesso abusivo – attiene alla attività illecita di accesso non autorizzato ai dati attraverso i sistemi informatici da parte di soggetti esterni (hacker), con la finalità di acquisire e divulgare (o minacciare) i dati medesimi.

Il titolare dei dati, in relazione alla tipologia di attività espletate, alla valenza dei dati trattati ed all’organizzazione interna, ha l’onere di effettuare un’attenta valutazione preliminare dei rischi connessi, in modo da poter permettere agli organi preposti (titolare, DPO, Data Privacy Manager) di porre in essere le misure adeguate ed efficaci a limitare e/o evitare le possibili violazioni.

Molto si sta disquisendo in merito alle novità apportate dal Regolamento, e tra esse spiccano la cosiddetta Privacy by Design e la Privacy by Default, che rappresentano l’organizzazione e la gestione dei dati personali, attraverso una vera e propria progettazione iniziale, affiancata dalla continuativa analisi del trattamento.

Il momento senza dubbio fondamentale, successivo alla più accurata analisi dei possibili rischi, attraverso audit e attività di controllo in merito all’assetto di gestione interno (individuazione dei soggetti autorizzati a visionare i dati, tipologia delle aree di attività con relativi dati, procedure di acquisizione e gestione dei dati, individuazione degli impianti dedicati all’archiviazione dei dati, ecc), è rappresentato dalla Privacy by Design, strumento ben noto da tempo negli Stati Uniti e Canada[2].

L’Articolo 25 del Regolamento (con riferimento al Considerando 78[3]) definisce le attività di progettazione che il titolare del trattamento deve mettere in atto in ordine a misure tecniche e organizzative adeguate alla natura, all’ambito, al contesto ed alle finalità del trattamento.

Si tratta invero di una attività (sinergica tra le necessità tecniche e quelle di natura giuridica) necessaria al fine di individuare le corrette procedure finalizzate a limitare le possibili violazioni, che potranno avere ad oggetto ad esempio l’individuazione dei soggetti autorizzati al trattamento dei dati (previsione di codici di accesso limitati), la predisposizione delle dotazioni tecniche informatiche (accesso a server o servizi cloud professionali), la minimizzazione dell’uso dei dati (trattenere solo i dati necessari alla finalità che il titolare del trattamento si prefigge), la anonimizzazione dei dati (processo che rende non identificabile l’associazione dei dati alle persone fisiche), la pseudononomizzazione (tecnica di protezione dei dati attraverso chiavi di crittografia).

In sostanza ci troviamo dinanzi ad una progettazione globale ed iniziale dell’attività del titolare dei dati, in modo da proteggere tutte le fasi di acquisizione e gestione dei dati medesimi.

Ulteriore principio che rappresenta la necessaria attività di adeguamento alle procedure di tutela dei dati è indicato quale Privacy by Default, che può essere inteso come il costante controllo sul trattamento dei dati, in modo che tutti i processi avvengano nel rispetto del Regolamento e limitino il rischio di violazioni.

Dalla lettura del testo regolamentare si comprende che il Legislatore ha posto all’attenzione dei destinatari, la necessità di quel principio di Accountability che permea l’intero Regolamento, attraverso la predisposizione di processi e strumenti, con l’espresso onere da parte del titolare del trattamento di adeguare tale progettazione alle costanti innovazioni tecnologiche, tenendo sempre in considerazione la necessità della tutela dei dati per tutto il tempo in cui avvenga il trattamento medesimo.

Sono stati inoltre previsti attenti e minuziosi obblighi in capo al titolare dei dati nel caso in cui avvenga la violazione dei dati.

L’articolo 33 del Regolamento ha introdotto l’obbligo di notifica dell’avvenuta violazione all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento di conoscenza del “Breach”.

Il successivo articolo 34 prevede inoltre l’obbligo, sempre a cura del titolare del trattamento, di dare compiuta comunicazione della violazione all’interessato, nei casi in cui la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Nel passato molti sono stati gli eventi di Data Breach che sono stati tenuti celati agli interessati dai titolari dei dati, principalmente per ragioni di reputazione ed immagine (del titolare).

Nel fare ciò, però, gli interessati hanno visto una carenza di tutela dei diritti relativi alla riservatezza dei propri dati; per tale ragione il Regolamento ha posto ora la necessità di dare formale comunicazione all’autorità di controllo competente, dell’avvenuta violazione.

Tale comunicazione all’Autorità dovrà necessariamente contenere alcuni elementi, tra i quali:

  • la descrizione della natura della violazione dei dati, con indicazione delle categorie e del numero degli interessati
  • la descrizione delle probabili cause della violazione e delle conseguenze di essa
  • il contatto del responsabile della protezione dei dati
  • la descrizione delle misure adottate o previste in merito ai rimedi per ripristinare la corretta gestione dei dati e per attenuare gli effetti negativi.

Dalla armonica analisi del Regolamento, si comprende perfettamente la necessità in ordine alla più attenta progettazione di tutti i  processi di sicurezza, gestione e ripristino per la corretta tenuta e trattazione dei dati, in ragione della sempre più evidente valenza economica dei dati medesimi e della fondamentale tutela (non sempre nel passato garantita) dei diritti degli interessati.

 

[1] Personal Data Breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.

[2]These information management principles − and the philosophy and methodology they express − can apply to specific technologies, business operations, physical architectures and networked infrastructure, and even to entire information ecosystems and governance models… The 7 Foundational Principles of Privacy by Design are presented below in Bold, followed by the FIPs principles that map onto each one: 1) Proactive not Reactive - Preventative not Remedial, 2) Privacy as the Default, 3) Privacy Embedded into Design, 4) Full Functionality – Positive-Sum, not Zero-Sum, 5) End-to-End Security – Lifecycle Protection, 6) Visibility and Transparency, 7) Respect for User Privacy. (Privacy by Design, the 7 Foundational Principles, Ann Cavoukian, Ph.D, Information & Privacy Commissioner, Ontario, Canada)

[3] La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici.