{"id":1499,"date":"2018-03-30T08:26:43","date_gmt":"2018-03-30T08:26:43","guid":{"rendered":"https:\/\/project90.it\/boglione\/approfondimento\/data-breach-e-gdpr\/"},"modified":"2026-05-19T11:23:14","modified_gmt":"2026-05-19T11:23:14","slug":"data-breach-e-gdpr","status":"publish","type":"approfondimento","link":"https:\/\/boglione.eu\/en\/approfondimento\/data-breach-e-gdpr\/","title":{"rendered":"Data Breach and GDPR"},"content":{"rendered":"<p>L\u2019aspetto patologico maggiormente delicato che viene previsto ed analizzato dal GDPR \u00e8 certamente il cosiddetto \u201c<strong>Data<\/strong> <strong>Breach<\/strong>\u201d, la cui definizione viene riportata nel medesimo Regolamento all\u2019art. 4.12<a href=\"#_ftn1\" name=\"_ftnref1\" title=\"\">[1]<\/a>.<\/p>\n<p>Il Legislatore Europeo, nel lungo lavoro che ha comportato la redazione del testo regolamentare che vedr\u00e0 piena efficacia applicativa\u00a0 a partire dal 25 maggio 2018, ha posto particolare attenzione alle gravi conseguenze che possano derivare dalla violazione dei dati personali.<\/p>\n<p>I principi che dianzi tenter\u00f2 di illustrare appaiono mai come in questo periodo attuali, e buona testimonianza di ci\u00f2 possono essere i gravi accadimenti che recentemente stanno fortemente scuotendo \u00a0milioni di utenti di noti social network e societ\u00e0 della Tech Economy, con gravi ripercussioni economiche per le aziende coinvolte.<\/p>\n<p>Il <strong>Considerando n. 85<\/strong> individua alcune tra le possibili conseguenze delle violazioni, tra le quali la perdita del controllo dei dati personali o limitazione dei loro diritti, discriminazione, furto o usurpazione di identit\u00e0, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale.<\/p>\n<p>Vista la delicatezza dei diritti che potrebbero essere oggetto di violazione, con conseguenti possibili notevoli ripercussioni economiche e di reputazione per il titolare del trattamento e degli interessati, si comprende la ragione che ha spinto il Legislatore a prevedere la necessit\u00e0 della predisposizione di tutte le\u00a0 misure opportune ad evitare l\u2019accadimento di tali eventi.<\/p>\n<p>Cercando di fare chiarezza sulla terminologia utilizzata dagli Organi Europei, il Data Breach si concretizza nella perdita dei dati trattati, ovvero nella loro distruzione non autorizzata, divulgazione ed accesso posto in essere ad opera di soggetti non autorizzati.<\/p>\n<p>Nella pratica, i concetti cennati possono essere identificati in attivit\u00e0 e fatti di varia natura, con gravit\u00e0 diverse, e da cui ricadono azioni preliminari e successive difformi in capo al responsabile del trattamento.<\/p>\n<p>La violazione dei dati pu\u00f2 avvenire in buona sostanza a seguito di fatti ed accadimenti che rientrano in varie tipologie di azioni:<\/p>\n<ul>\n<li><strong>Errore umano<\/strong> \u2013 identifica tutte quelle attivit\u00e0 riconducibili ad attivit\u00e0 non volute (smarrimento di smartphone, tablet, PC, usb drive) che determinano la possibile fuoriuscita di dati in modo incontrollato e non tracciato.<\/li>\n<li><strong>Attivit\u00e0 infedele<\/strong> \u2013 attiene alle attivit\u00e0 che possono essere compiute ad opera di personale interno al soggetto titolare dei dati, in grado di accedere ai dati (modifica non autorizzata, rivelazione non autorizzata, furto).<\/li>\n<li><strong>Accesso abusivo <\/strong>\u2013 attiene alla attivit\u00e0 illecita di accesso non autorizzato ai dati attraverso i sistemi informatici da parte di soggetti esterni (hacker), con la finalit\u00e0 di acquisire e divulgare (o minacciare) i dati medesimi.<\/li>\n<\/ul>\n<p>Il titolare dei dati, in relazione alla tipologia di attivit\u00e0 espletate, alla valenza dei dati trattati ed all\u2019organizzazione interna, ha l\u2019onere di effettuare un\u2019attenta valutazione preliminare dei rischi connessi, in modo da poter permettere agli organi preposti (titolare, DPO, Data Privacy Manager) di porre in essere le misure adeguate ed efficaci a limitare e\/o evitare le possibili violazioni.<\/p>\n<p>Molto si sta disquisendo in merito alle novit\u00e0 apportate dal Regolamento, e tra esse spiccano la cosiddetta <strong>Privacy by Design<\/strong> e la <strong>Privacy by Default<\/strong>, che rappresentano l\u2019organizzazione e la gestione dei dati personali, attraverso una vera e propria progettazione iniziale, affiancata dalla continuativa analisi del trattamento.<\/p>\n<p>Il momento senza dubbio fondamentale, successivo alla pi\u00f9 accurata analisi dei possibili rischi, attraverso audit e attivit\u00e0 di controllo in merito all\u2019assetto di gestione interno (individuazione dei soggetti autorizzati a visionare i dati, tipologia delle aree di attivit\u00e0 con relativi dati, procedure di acquisizione e gestione dei dati, individuazione degli impianti dedicati all\u2019archiviazione dei dati, ecc), \u00e8 rappresentato dalla <strong>Privacy by Design<\/strong>, strumento ben noto da tempo negli Stati Uniti e Canada<a href=\"#_ftn2\" name=\"_ftnref2\" title=\"\">[2]<\/a>.<\/p>\n<p><strong>L\u2019Articolo 25<\/strong> del Regolamento (con riferimento al <strong>Considerando 78<\/strong><a href=\"#_ftn3\" name=\"_ftnref3\" title=\"\">[3]<\/a>) definisce le attivit\u00e0 di progettazione che il titolare del trattamento deve mettere in atto in ordine a misure tecniche e organizzative adeguate alla natura, all\u2019ambito, al contesto ed alle finalit\u00e0 del trattamento.<\/p>\n<p>Si tratta invero di una attivit\u00e0 (sinergica tra le necessit\u00e0 tecniche e quelle di natura giuridica) necessaria al fine di individuare le corrette procedure finalizzate a limitare le possibili violazioni, che potranno avere ad oggetto ad esempio l\u2019individuazione dei soggetti autorizzati al trattamento dei dati (previsione di codici di accesso limitati), la predisposizione delle dotazioni tecniche informatiche (accesso a server o servizi cloud professionali), la minimizzazione dell\u2019uso dei dati (trattenere solo i dati necessari alla finalit\u00e0 che il titolare del trattamento si prefigge), la anonimizzazione dei dati (processo che rende non identificabile l\u2019associazione dei dati alle persone fisiche), la pseudononomizzazione (tecnica di protezione dei dati attraverso chiavi di crittografia).<\/p>\n<p>In sostanza ci troviamo dinanzi ad una progettazione globale ed iniziale dell\u2019attivit\u00e0 del titolare dei dati, in modo da proteggere tutte le fasi di acquisizione e gestione dei dati medesimi.<\/p>\n<p>Ulteriore principio che rappresenta la necessaria attivit\u00e0 di adeguamento alle procedure di tutela dei dati \u00e8 indicato quale <strong>Privacy by Default<\/strong>, che pu\u00f2 essere inteso come il costante controllo sul trattamento dei dati, in modo che tutti i processi avvengano nel rispetto del Regolamento e limitino il rischio di violazioni.<\/p>\n<p>Dalla lettura del testo regolamentare si comprende che il Legislatore ha posto all\u2019attenzione dei destinatari, la necessit\u00e0 di quel principio di Accountability che permea l\u2019intero Regolamento, attraverso la predisposizione di processi e strumenti, con l\u2019espresso onere da parte del titolare del trattamento di adeguare tale progettazione alle costanti innovazioni tecnologiche, tenendo sempre in considerazione la necessit\u00e0 della tutela dei dati per tutto il tempo in cui avvenga il trattamento medesimo.<\/p>\n<p>Sono stati inoltre previsti attenti e minuziosi obblighi in capo al titolare dei dati nel caso in cui avvenga la violazione dei dati.<\/p>\n<p><strong>L\u2019articolo 33<\/strong> del Regolamento ha introdotto l\u2019obbligo di notifica dell\u2019avvenuta violazione all\u2019autorit\u00e0 di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento di conoscenza del \u201cBreach\u201d.<\/p>\n<p>Il successivo <strong>articolo 34 <\/strong>prevede inoltre l\u2019obbligo, sempre a cura del titolare del trattamento, di dare compiuta comunicazione della violazione all\u2019interessato, nei casi in cui la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libert\u00e0 delle persone fisiche.<\/p>\n<p>Nel passato molti sono stati gli eventi di Data Breach che sono stati tenuti celati agli interessati dai titolari dei dati, principalmente per ragioni di reputazione ed immagine (del titolare).<\/p>\n<p>Nel fare ci\u00f2, per\u00f2, gli interessati hanno visto una carenza di tutela dei diritti relativi alla riservatezza dei propri dati; per tale ragione il Regolamento ha posto ora la necessit\u00e0 di dare formale comunicazione all\u2019autorit\u00e0 di controllo competente, dell\u2019avvenuta violazione.<\/p>\n<p>Tale comunicazione all\u2019Autorit\u00e0 dovr\u00e0 necessariamente contenere alcuni elementi, tra i quali:<\/p>\n<ul>\n<li>la descrizione della natura della violazione dei dati, con indicazione delle categorie e del numero degli interessati<\/li>\n<li>la descrizione delle probabili cause della violazione e delle conseguenze di essa<\/li>\n<li>il contatto del responsabile della protezione dei dati<\/li>\n<li>la descrizione delle misure adottate o previste in merito ai rimedi per ripristinare la corretta gestione dei dati e per attenuare gli effetti negativi.<\/li>\n<\/ul>\n<p>Dalla armonica analisi del Regolamento, si comprende perfettamente la necessit\u00e0 in ordine alla pi\u00f9 attenta progettazione di tutti i \u00a0processi di sicurezza, gestione e ripristino per la corretta tenuta e trattazione dei dati, in ragione della sempre pi\u00f9 evidente valenza economica dei dati medesimi e della fondamentale tutela (non sempre nel passato garantita) dei diritti degli interessati.<\/p>\n<p>\u00a0<\/p>\n<p><a href=\"#_ftnref1\" name=\"_ftn1\" title=\"\">[1]<\/a> Personal Data Breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.<\/p>\n<p><a href=\"#_ftnref2\" name=\"_ftn2\" title=\"\">[2]<\/a> \u2026 <em>These information management principles \u2212 and the philosophy and methodology they express \u2212 can apply to specific technologies, business operations, physical architectures and networked infrastructure, and even to entire information ecosystems and governance models\u2026 The 7 Foundational Principles of Privacy by Design are presented below in Bold, followed by the FIPs principles that map onto each one: 1) Proactive not Reactive &#8211; Preventative not Remedial, 2) Privacy as the Default, 3) Privacy Embedded into Design, 4) Full Functionality \u2013 Positive-Sum, not Zero-Sum, 5) End-to-End Security \u2013 Lifecycle Protection, 6) Visibility and Transparency, 7) Respect for User Privacy.<\/em> (Privacy by Design, the 7 Foundational Principles, Ann Cavoukian, Ph.D, Information &#038; Privacy Commissioner, Ontario, Canada)<\/p>\n<p><a href=\"#_ftnref3\" name=\"_ftn3\" title=\"\">[3]<\/a> La tutela dei diritti e delle libert\u00e0 delle persone fisiche relativamente al trattamento dei dati personali richiede l\u2019adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformit\u00e0 con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l\u2019altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il pi\u00f9 presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all\u2019interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorch\u00e9 sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell\u2019arte, a far s\u00ec che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell\u2019ambito degli appalti pubblici.<\/p>\n<div id=\"approfondimento-allegati\">\n","protected":false},"author":7,"featured_media":0,"template":"","categories":[15],"class_list":["post-1499","approfondimento","type-approfondimento","status-publish","hentry","category-responsabilita-civile"],"acf":[],"_links":{"self":[{"href":"https:\/\/boglione.eu\/en\/wp-json\/wp\/v2\/approfondimento\/1499","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/boglione.eu\/en\/wp-json\/wp\/v2\/approfondimento"}],"about":[{"href":"https:\/\/boglione.eu\/en\/wp-json\/wp\/v2\/types\/approfondimento"}],"author":[{"embeddable":true,"href":"https:\/\/boglione.eu\/en\/wp-json\/wp\/v2\/users\/7"}],"wp:attachment":[{"href":"https:\/\/boglione.eu\/en\/wp-json\/wp\/v2\/media?parent=1499"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/boglione.eu\/en\/wp-json\/wp\/v2\/categories?post=1499"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}