Home » rubriche » GDPR, data breach, dato personale: breve introduzione alla tutela dei dati personali
rubrica: lex

GDPR, data breach, dato personale: breve introduzione alla tutela dei dati personali

12 Ottobre 2020

Se vi dicessimo che la violazione della privacy può causa il decesso di una persona? No, non stiamo scherzando. 

Il Regolamento UE 2016/679 – noto ai più come GDPR – entrato in vigore ormai due anni fa ha portato con sé adempimenti ed ha introdotto importanti novità come il rivoluzionario principio di accountability (cioè di responsabilizzazione) che impone alle organizzazioni di decidere, prima, e dare conto, poi, delle scelte prese in materia di protezione dei dati personali.

Come è evidente, i temi connessi alla protezione dei dati personali, oltre ad essere estremamente attuali, rappresentano anche una sfida, anche giuridica, per imprese e privati.

Abbiamo deciso di approfondire il tema con l’aiuto dell’avv. Adebowale Adediwura, socio di AIGA Venezia, membro ordinario di Assodata e Senior Consultant in data protection presso la sede veneziana di un noto studio legale internazionale.

  • Avvocato, anzitutto le chiediamo perché secondo Lei per i nostri lettori è importante la privacy?

Perché la privacy ormai è tutto. È in ogni cosa. È ovunque.

  • In che senso? Potrebbe essere più preciso?

Forse non tutti ce ne siamo resi conto. Ma negli ultimi 20 anni il mondo è cambiato drasticamente. Viviamo in un’epoca costituita da fenomeni talmente complessi che oggi, per descrivere la realtà, non bastano nemmeno più le parole. Ne dobbiamo creare costantemente di nuove.

L’esistente, la realtà, la nostra vita, non si dispiegano più solo nel mondo fisico ma coinvolgono sempre più spesso la dimensione del digitale.

Volenti o nolenti viviamo in un gigantesco spazio fatto di informazioni (big data) che contribuiamo noi stessi ad alimentare in ogni istante. Informazioni che sempre più spesso sono elaborate da strumenti automatizzati intelligenti, capaci di imparare, capire e prendere in autonomia decisioni che producono effetti sulle nostre vite (es. Intelligenza artificiale, machine learning e deep learning), capaci di analizzare i nostri comportamenti in modo meticoloso (profilazione) e prevedere con margini di errore sempre più bassi quali saranno le nostre scelte ed i nostri comportamenti futuri (analisi predittiva).

In tutta questa incerta e inquietante complessità, la privacy è il nostro baluardo.

La privacy, ma soprattutto il GDPR rappresenta un caso unico nel panorama mondiale.

La corretta gestione dei dati personali, in realtà può anche rappresentare – e già rappresenta – un grande volano per l’economia. Non dimentichiamo infatti che proprio il GDPR ha come finalità non solo la “protezione” dei dati personali, ma anche la loro “libera circolazione”.

Ritengo tuttavia che per raggiungere questi due scopi, la protezione e la libera circolazione, si debba però rendere le persone consapevoli.

La missione – perché è di questo si tratta – di chi “fa privacy”, secondo me, non dovrebbe essere solo quella della compliance, cioè della mera assistenza alle aziende nell’adeguamento normativo, ma forse anche quella di contribuire nella società civile diffondendo conoscenza e consapevolezza sulla materia. Qualcuno, infatti, diceva: “la conoscenza rende liberi”. Del resto, che cos’è la protezione dei dati personali se non una libertà. O meglio un diritto di libertà.

  • Possiamo quindi dire che in un mondo come il nostro, uno degli scopi principali della privacy è scongiurare che i nostri dati vengano utilizzati per fini malevoli ed in un qualche modo violati?

Si, esatto.

La violazione dei dati personali, dall’ inglese “data breach” – mi raccomando, “breach” violazione, e non “bridge” ponte –, è un particolare incidente di sicurezza che coinvolge i dati personali.

L’importanza di questo concetto è direttamente proporzionale alla importanza dell’oggetto a cui si riferisce: per l’appunto i dati personali.

  • Avvocato ci può spiegare meglio il concetto ma anche l’importanza dei dati personali?

I dati personali sono informazioni riferite alla nostra persona.Nello specifico l’art. 4, n. 1 del GDPR definisce il dato personale come qualsiasi informazione riguardante una persona fisica identificata o identificabile”.

  • Ci può fare qualche esempio?

Certo.

Se le dicessi che conosco: a che ora si sveglia la mattina; con che frequenza guarda il suo cellulare ed accede a whatsapp; gli ultimi 5 film che ha visto su netflix;

ma ancora se le dicessi che so che dal lunedì al venerdì lascia casa sua alle 7.35, entra in auto alle 7: 38 circa; accende l’applicazione musicale spotify che contiene 759 brani, ma ascolta sempre le solite 45 canzoni.

Ma andiamo avanti. Se le dicessi che la mattina dopo 10 minuti di strada statale verso est, Lei imbocca alle ore 7.55 il casello autostradale direzione nord; percorre un tratto di circa 30km alla velocità di 130 km costanti; uscito dal casello percorre altri 7km e sosta in un luogo, che presumo essere il suo posto di lavoro, per circa 9 ore; la sera, poi, almeno 1 volta a settimana si ferma presso una nota catena di centri commerciali e 8 volte su 10 acquista sempre una determinata marca di pasta, riso, pomodoro, olio. So che adora i grissini. Li acquista 10 volte su 10.

il concetto e l’importanza dei dati personali comincia a diventare intuitivo, giusto?

  • Decisamente sì. Può farci qualche esempio anche sugli strumenti che possono “trasmettere” queste informazioni, questi dati?

Pensi allo smartphone.

E se le dicessi che grazie allo smartwatch che ha acquistato il 23 dicembre 2019 Lei ha una leggera aritmia cardiaca e la pressione decisamente alta?

Se le dicessi anche che so a quanto ammonta il suo estratto conto; le sue opinioni politiche e con chi è stato in prossimità a meno di 1 metro negli ulti 15 giorni.

E se le dicessi che so tante altre cose sul suo conto, che forse nemmeno Lei sa, come la prenderebbe?

  • È decisamente inquietante.Quindi possiamo affermare che il “dato personale” non è solo il singolo nome, il singolo indirizzo?

Tutte queste informazioni possono assurgere a dato personale.

Risulta infatti intuitivo che le informazioni che le ho riferito, se combinate tra loro o unitamente ad informazioni supplementari, già descrivono in modo preciso la sua persona. E non un’altra. Senza che mi sia fondamentale avere il classico dato personale comune: il suo nome e cognome.

Spesso l’errore sta proprio qui, le persone pensano che il dato personale sia alla fine il solo nome e cognome. E rimuovendo questi si possa vivere completamente anonimi. Nulla di più sbagliato.

Bene, ora la tranquillizzo. Io naturalmente tutte queste informazioni sul suo conto non le ho. Ma qualcuno si. Anzi, in realtà, molti più di uno.

Il problema sta qui.

  • Il problema è quindi connesso a chi, concretamente, dispone di questo insieme di dati personali?

Il problema non sono i dati in sé ma il modo in cui sono trattati dai soggetti che a vario titolo, spesso anche con il nostro consenso, sono chiamati ad utilizzarli per fornirci servizi e/o prodotti.

La miriade di informazioni che esistono sul nostro conto sono disseminate dai dispositivi elettronici che usiamo – i cosiddetti devices, pc, smartphones, IoT – ma sono anche contenuti in banche dati pubbliche come catasto, anagrafe, agenzia entrate, INAIL, INPS. Esistono anche moltissime banche dati private come il server del commercialista o dell’azienda presso cui lavoro.

  • Avvocato, ora che ci ha chiarito l’importanza dei dati personali, ci può spiegare in modo semplice in che cosa consiste una violazione dei dati personali o data breach?

Partiamo con qualche esempio.

Immaginiamo che una azienda subisca un attacco ransomware, cioè un tipico attacco informatico che rende illeggibili i dati salvati nei propri server, a meno che l’azienda non paghi all’hacker una ingente somma.

Ecco, immaginiamo che l’azienda non abbia copie di salvataggio dei dati – ad esempio il classico backup – disponibili eche quindi i dati siano irrimediabilmente persi. Anche questo è un data breach.

Pensi ai dati dei clienti, dei dipendenti o dei fornitori. Tutto perso.

Il data breach può essere anche più subdolo e di non diretta percezione.

Immaginiamo un professionista che decide di inviare una e-mail di marketing diretto a tutti i clienti persone fisiche della sua anagrafica o del suo applicativo CRM (Customer Relationship Management) ed anziché inserire gli indirizzi email nel campo copia nascosta “CCN”, li inserisce in chiaro nei campi dei destinatari “A:” o “CC:”. Questo può configurare un incidente di sicurezza, perché ciascun destinatario potrà vedere – ma anche utilizzare impropriamente! – l’indirizzo e-mail degli altri destinatari.

Per cogliere meglio la gravità di questo incidente di sicurezza, immaginiamo che il professionista sia uno psicoterapeuta e che quindi i destinatari ora sappiano chi sono gli altri pazienti; oppure che il numero di utenti contattati siano i clienti di un grande gruppo industriale.Questo è un data breach.

Ma ancora. Pensiamo al cellulare personale che i nostri dipendenti usano tutti i giorni per accedere alla email aziendale e/o per scaricare nel dispositivo documenti aziendali; oppure pensiamo al PC o allo smartphone aziendale, non crittografati o privi di pin e/o password complesse che vengono smarriti o rubati.

Questi sono tutti data breach.

  • Se sono un piccolo artigiano che svolge la propria attività principalmente in modo cartaceo, posso stare tranquillo? Come anche nel caso di una azienda che non ha per clienti persone fisiche ma svolge un business “b2b” (business to business), può stare tranquilla?

Purtroppo, no.

La violazione dei dati personali può verificarsi certamente anche fuori dagli ambienti digitali.

Pensiamo ad un archivio cartaceo con le posizioni dei dipendenti; oppure immaginiamo uno studio legale che manda il collaboratore a depositare degli atti in tribunale ma che smarrisce il fascicolo oppure subisce il furto dell’auto in cui c’era lo zaino con il fascicolo da depositare.

Se sono invece una azienda che non ha clienti persone fisiche, probabilmente gestirò i dati personali dei miei dipendenti, dei legali rappresentanti delle società mie clienti o fornitrice, o ancora di ditte individuali. Tutte informazioni che devo tutelare dal rischio di violazione.

  • Quindi la violazione dei dati personali riguarda la perdita o l’accesso non autorizzato a dei dati personali?

Non solo.

L’art. 4, n. 12) del GDPR definisce la violazione dei dati personali come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso dei dati personali trasmessi, conservati o comunque trattati

In linea generale, violazione dati personali può attenere: (a) la riservatezza dei dati, basti pensare all’esempio del CRM; (b) la disponibilità di dati personali, come nel caso del ransomware o del data breach cartaceo; (c) la integrità dei dati. Pensiamo al data breach subito questa estate dall’INPS, che ha visto gli utenti richiedenti il bonus covid19 poter accedere e modificare le anagrafiche e domande di terzi.

  • Avvocato, cosa si deve fare in caso di data breach? Cosa prevede il GDPR?

L’art. 33 del GDPR prevede che il titolare del trattamento – cioè il soggetto pubblico, l’impresa o il professionista – si attivi notificando l’intervenuto data breach all’autorità Garante per la protezione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.

La redazione della notifica è una fase cruciale per il titolare, perché sulla base di ciò che verrà scritto il Garante potrà richiedere ulteriori accertamenti o avviare una indagine.

Sotto il profilo pratico la notifica avviene mediante la compilazione e l’invio di un modulo con domande a risposta aperta e chiusa. I campi di compilazione sono poi limitati. E questo non è un aspetto da sottovalutare all’atto pratico: significa che la descrizione dei fatti deve essere sintetica ed esaustiva.

La notifica da inviare al Garante deve poi:

  1. Descrivere la natura della violazione dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dai personali in questione;
  2. Comunicare il nome e i dati di contatto del DPO o di altro punto di contatto presso cui ottenere più informazioni;
  3. Descrivere le probabili conseguenze della violazione dei dati personali;
  4. Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
  • Esistono ipotesi in cui questa notifica non vada fatta?

La norma riferisce che la notifica va effettuata, a meno chesia improbabile che la violazione dei dati comporti un rischio per i diritti e le libertà delle persone fisiche.

  • Cosa vuol dire che sia “improbabile” un rischio per diritti e le libertà delle persone fisiche?

Per capirlo prendiamo in prestito gli esempi di data breach che abbiamo elencato prima.

Nel nostro esempio del ransomware avevamo ipotizzato una violazione della “disponibilità” dei dati, perché questi non erano più accessibili e perché non erano state eseguite delle copie di salvataggio degli stessi.

Bene, immaginiamo che invece il nostro titolare del trattamento, seguendo le raccomandazioni del proprio consulente privacy, abbia installato un sistema di back-up.

Bene, il giorno dell’attacco informatico, il titolare potrà agevolmente ripristinare i propri sistemi utilizzando le copie di salvataggio, garantendosi così la continuità aziendale e scongiurando il rischio data breach.

L’altro esempio era quello del furto di un PC o di uno smartphone aziendale: qui il rischio di violazione atteneva la riservatezza e la disponibilità dei dati. Il primo rischio può essere scongiurato qualora sui dispositivi sia installato un sistema di crittografia che non permetta a terzi di accedere ai contenuti del device senza la chiave di accesso; per quanto riguarda invece il rischio di violazione della disponibilità anch’esso potrà essere scongiurato qualora esista una copia back up.

È intuitivo. Il data breach e la notifica al Garante possono essere evitati adottando adeguate misure di sicurezza che concorrano a scongiurare che le violazioni di dati personali possano presentare un rischio per i diritti e le libertà delle persone.

  • In questi casi quindi il titolare non deve fare nulla?

Resta comunque l’obbligo di documentare l’incidente di sicurezza, le circostanze a esso relative, le sue conseguenze e i provvedimenti adottati.

  • Ci sono altri obblighi in capo al titolare del trattamento in caso di data breach?

Particolare attenzione deve essere prestata qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevatoper i diritti e le libertà delle persone fisiche.

Lo scorso 10 settembre in Germania, un attacco ransomware all’ospedale universitario di Düsseldorf ha causato la morte di una donna.

La donna giunta in gravi condizioni presso l’ospedale universitario non sarebbe stata soccorsa prontamente a causa di attacco informatico che avrebbe gradualmente criptato i dati bloccando i sistemi dell’ospedale. Il personale ospedaliero, non essendo più in grado di accedere ai dati, sarebbe stato quindi costretto a trasferire i pazienti in emergenza presso altre cliniche e a rinviare le operazioni.

Trasferimento in un’altra struttura ad oltre 30 km, che purtroppo risultò fatale per la paziente.

Sarà un caso limite, ma rende chiaramente il concetto di rischio elevato per i diritti e le libertà. In questo caso: diritto alla salute ed alla vita.

Il rischio elevato deve essere determinato attraverso una valutazione che tenga in considerazione diversi fattori, ad esempio tipo di violazione, natura e volume dei dati personali, facilità di identificazione delle persone, gravità delle conseguenze, caratteristiche particolari dell’interessato e del titolare del trattamento, numero di persone fisiche interessate. In termini generali presenta un rischio elevato una violazione che possa comportare un danno fisico, materiale o immateriale per le persone fisiche i cui dati sono stati violati o che coinvolga dati particolari – per intenderci: gli ex dati sensibili – anche su larga scala.

In questo caso oltre alla notifica al Garante, il titolare dovrà effettuare una comunicazione agli interessati descrivendo con linguaggio semplice e chiaro la natura della violazione dei dati personali oltre ai punti da 2 a 4 che abbiamo indicato nella notifica al Garante.

Dalla lettera dell’art. 34 GDPR, emerge che la soglia per la comunicazione delle violazioni agli interessati è più elevata rispetto a quella della notifica al Garante. Questo, quindi, fa intendere che non tutte le violazioni dei dati personali devono essere comunicate agli interessati.

Lo scopo della comunicazione agli interessati è quella di fornire loro delle informazioni sulle misure che possono prendere per proteggersi.

Pensiamo ad un attacco informatico al fornitore del nostro servizio di posta elettronica. L’eventuale comunicazione all’interessato servirà ad informarlo della necessità di modificare la password di accesso alla propria casella di posta.

  • Ma quali sono le modalità con cui le aziende o i professionisti che subiscono un data breach possono contattare i propri clienti o interessati i cui dati siano stati coinvolti nella violazione?

In linea generale si dovrebbe scegliere il mezzo che meglio massimizzi la possibilità di informare correttamente gli interessati, utilizzando dei messaggi dedicati che non devono essere inviati unitamente ad altre informazioni come newsletter o aggiornamenti di varia natura. Si possono utilizzare ad esempio email, sms, instant messaging.

Intervista di Luca Cadamuro

Altre Rubriche

“Bonus locazioni” in favore di soggetti esercenti attività d’impresa, arte o professione e per strutture turistico ricettive
Gli antichi graffiti di Piazza San Marco
Seguici su
Interviste
Articoli più letti