Data breach: violazione dati personali

DATA BREACH: violazioni di dati personali

Data breach significa violazione di dati personali e, in particolare,

«violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati» (art. 4, comma 1, punto 12, GDPR).

A norma dell’art. 33 del GDPR:

«In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente […] entro 72 ore dal momento in cui ne è venuto a conoscenza».

Pertanto, in presenza di data breach, bisogna porsi innanzitutto le seguenti domande:

  • cosa è stato violato?
  • chi è il titolare del trattamento dei dati personali violati?

La risposta alla prima domanda è indispensabile per rispondere alla seconda.

Immaginiamo che un documento informatico ricevuto per e-mail dal proprio cliente sia stato divulgato nel web.

In tal caso, si possono formulare (almeno) quattro ipotesi:

  • un soggetto non autorizzato ha violato le credenziali di accesso della casella e-mail del cliente (posta inviata);
  • un soggetto non autorizzato ha violato le credenziali di accesso della casella e-mail del destinatario (posta ricevuta);
  • un soggetto non autorizzato ha violato le credenziali di accesso del server sul quale sono memorizzate le e-mail del cliente;
  • un soggetto non autorizzato ha violato le credenziali di accesso del server sul quale sono memorizzate le e-mail del destinatario.

È evidente come in ognuno dei casi sopra elencati vi sia un diverso titolare del trattamento obbligato a notificare all’Autorità i dettagli del data breach.

Al riguardo, giova menzionare l’art. 4, comma 1, punto 7, GDPR, che definisce il titolare del trattamento come

«la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali […]».

L’immagine sottostante, benché in modo piuttosto approssimativo, evidenza alcuni punti critici che potrebbero comportare un data breach.

I punti critici sono i seguenti:

  1. login e password custodite da Tizio per l’accesso al proprio cloud e/o alla propria casella e-mail (in verde nell’immagine di cui sopra);
  2. login e password custodite dal provider per l’accesso al server (in rosso nell’immagine di cui sopra);
  3. login e password custodite dal provider per l’accesso al database (in giallo nell’immagine di cui sopra).

Qualora siano state violate le credenziali sub 1, il titolare del trattamento, obbligato ad effettuare la notifica del data breach all’Autorità, è l’utilizzatore del cloud e/o della casella e-mail.

Qualora siano state violate le credenziali sub 2 e 3, il titolare del trattamento, obbligato ad effettuare la notifica del data breach all’Autorità, è il provider.

Ciò detto, è bene precisare che vi sono casi in cui, benché vi sia stato un un data breach, la notifica all’Autorità non dev’essere fatta obbligatoriamente.

Infatti, l’art. 33, comma 1, GDPR, esonera il titolare dalla notifica del data breach qualora «sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».

Un esempio potrebbe essere l’accesso abusivo a un cloud in un momento in cui il titolare del trattamento ancora non aveva memorizzato nulla oppure in un momento in cui tutto ciò che era stato memorizzato era stato trasferito su altro account tempestivamente prima dell’intrusione abusiva.

Se non ricorre un’ipotesi simile «il titolare del trattamento […] entro 72 ore dal momento in cui […] è venuto a conoscenza» del data breach deve inviare una comunicazione all’Autorità nel contesto della quale deve:

«a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi
».

Qui è possibile scaricare le linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679

Pubblicato da

Giovanni Crescella

Avvocato Patrocinante in Corte di Cassazione e dinnanzi alle Giurisdizioni Superiori