Tutto quello che hai sempre desiderato sapere e mai osato chiedere sul Data breach: come capire quando si verifica seguendo le indicazioni del Regolamento EU 679/2018 e dell’European Data Protection Board (ex Working Party articolo 29).
Secondo la definizione dell’art. 4 del Regolamento EU 679/2016 (più comunemente "GDPR") il data breach (o violazione dei dati personali) consiste in una violazione della sicurezza che, accidentalmente o illecitamente, comporta “la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”. Si tratta di un riferimento esclusivo ai dati personali per i quali il titolare, a seguito della violazione, non potrebbe più garantire il rispetto delle prescrizioni previste dal GDPR.
Quanto appena detto (come viene confermato dal WP29 nelle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679”) pone una chiara distinzione tra incidente di sicurezza e violazione dei dati personali. Mentre ogni violazione di dati personali è un incidente di sicurezza, infatti, non ogni incidente di sicurezza configura una violazione di dati personali.
Data breach: una moltitudine di possibilità [Privacy]
Il WP 29, nel Parere 3/2014, trova che i casi di data breach possono essere classificati in tre gruppi che possono essere tra loro combinati:
Violazione della riservatezza, ossia la divulgazione e/o all’accesso ai dati personali da parte di soggetti non autorizzati;
Violazione dell’integrità, ossia le modifiche non autorizzate e/o accidentali di detti dati;
Violazione della disponibilità.
DOMANDE FREQUENTIQuando una mancata disponibilità di dati personali comporta un Data breach? Ogni indisponibilità configura una violazione dei dati personali?
Ovviamente la risposta è no. In soccorso viene l’art 32 GDPR “Sicurezza del trattamento”, il quale ai punti B) e C) afferma che “Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: […] la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento e la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico”. Da questo assunto discende che la mancata disponibilità dei dati personali configura un evento di data breach, il quale in base al livello di gravità dovrà essere notificato al Garante e/o agli interessati, ma nel caso (es) di una manutenzione programmata degli strumenti atti al trattamento di dati non si configura una violazione.Leggi di più: Data breach: che cosa fare in caso di ransomware
Data breach: qualche esempio pratico [Privacy]
Nella pratica, il Data breach può avvenire in una moltitudine di modi diversi. Un esempio per così dire “classico” è la perdita dello smartphone, che, oltre la rubrica con nominativi, numeri di telefono, indirizzi e-mail, residenza e altro ancora, può contenere password e permessi di accesso a banche dati/server o all’e-mail lavorativa. Il semplice smarrimento dello smartphone, oltre all’eventuale danno economico per la perdita dello stesso e all’eventuale interruzione dell’attività lavorativa, può portare a conseguenze nefaste sia per il proprietario che per le persone i cui dati sono memorizzati al suo interno.
Un esempio? Si pensi al commerciale di un’azienda, il quale, tramite il cellulare, può accedere al server aziendale (anche limitatamente ad alcune cartelle). In caso di smarrimento del device, Oltre ad avere accesso alla mail, il “fortunato” che avrà ritrovato il telefono avrà accesso a tutti i dati e applicazioni presenti sul dispositivo e, potenzialmente, a tutti i dati presenti sul server aziendale.
Data breach: quali possono essere le conseguenze [Privacy]
Le conseguente derivanti da una violazione dei dati possono avere risvolti più o meno rilevanti nei confronti degli interessati, in quanto potenziale causa di danni fisici, materiali o immateriali, tra i quali
la perdita del controllo da parte degli interessati sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale, nonché qualsiasi altro danno economico o sociale significativo alle persone fisiche interessate.
Le conseguenze per gli interessati derivanti da un Data breach, potenzialmente, sono infinite. Basta pensare a tutti i dati che cediamo a terzi, letteralmente con cadenza quotidiana.
Un esempio di Data breach: il caso Garmin [Privacy]
In tema di esempi, il caso Garmin si presta alla perfezione. Nel luglio 2020, infatti, la società - leader mondiale nella tecnologia GPS per l'automotive, la nautica, l'aviazione, lo sport, il fitness e l'outdoor - ha subito un attacco ransomware con conseguente criptazione di tutti i dati presenti sui server. In poche parole tutti i suoi clienti, anche se per un periodo limitato di tempo, non hanno più avuto la possibilità di accedere ai propri account o di utilizzare correttamente i propri dispositivi. Oltre questo, che potrebbe essere visto come un semplice fastidio, c’era la paura che i criminali potessero accedere ai dati e ai sistemi e divulgare tali informazioni. In questo caso la paura era tanta in quanto i dispositivi tenevano traccia dei percorsi e orari di allenamento degli utenti e, entrando in possesso di queste informazioni, un soggetto terzo avrebbe potuto capire le abitudini e organizzare furti in case che sarebbero state sicuramente vuote negli orari stabiliti, oppure (estremizzando) “incontrare” gli utilizzatori dei dispositivi per altri motivi ben poco leciti.
Capire quando si è in presenza di un Data breach non è sempre facile, per questo è necessario, per i titolari e per i responsabili del trattamento, analizzare dal punto di vista privacy la propria attività e attuare le misure tecniche e organizzative idonee e necessarie alla corretta protezione dei dati personali, soprattutto perché le conseguenze possono essere molto significative sia per il titolare sia per gli interessati.