Incidente di sicurezza o violazione dei dati personali?

Le violazioni di dati personali non sempre sono causate da attacchi informatici esterni, ma da procedure inadeguate e da semplici errori materiali del personale. Credo che questo sia un aspetto molto importante da sottolineare, in quanto al fine di porre rimedio a una violazione occorre innanzitutto che il titolare del trattamento sia in grado di riconoscerla. All’articolo 4, punto 12, il regolamento UE n. 2016/679 (GDPR) definisce la violazione dei dati personali come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il significato di “distruzione dei dati personali” dovrebbe essere abbastanza chiaro: si ha distruzione dei dati quando gli stessi non esistono più o non esistono più in una forma che sia di qualche utilità per il titolare del trattamento. Anche il concetto di “danno” è relativamente evidente: si verifica un danno quando i dati personali sono stati modificati, corrotti o non sono più completi. Con “perdita” dei dati personali si intende il caso in cui i dati potrebbero comunque esistere, ma il titolare del trattamento potrebbe averne perso il controllo o l’accesso, oppure non averli più in possesso.

Infine, un trattamento non autorizzato o illecito può includere la divulgazione di dati personali a (o l’accesso da parte di) destinatari non autorizzati a ricevere (o ad accedere a) i dati oppure qualsiasi altra forma di trattamento in violazione del regolamento.

Come sottolineato dai garanti europei, nelle linee guida “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679” adottate nella loro ultima versione il 6 febbraio 2018, ciò che deve essere chiaro è che una violazione è un tipo di incidente di sicurezza.

Tuttavia, come indicato all’articolo 4, punto 12, il regolamento si applica soltanto in caso di violazione di dati personali. La conseguenza di tale violazione è che il titolare del trattamento non è più in grado di garantire l’osservanza dei principi relativi al trattamento dei dati personali di cui all’articolo 5 del GDPR.

Questo punto mette in luce la differenza tra un incidente di sicurezza e una violazione dei dati personali: mentre tutte le violazioni dei dati personali sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali (un incidente di sicurezza non si limita ai modelli di minacce nei quali un attacco viene effettuato ai danni di un’organizzazione dall’esterno della stessa, bensì include anche incidenti derivanti dal trattamento interno che violano i principi di sicurezza).

Anche un incidente di sicurezza che determina l’indisponibilità dei dati personali per un certo periodo di tempo costituisce una violazione, in quanto la mancanza di accesso ai dati può avere un impatto significativo sui diritti e sulle libertà delle persone fisiche.

Ben diverso, invece, è il caso del l’indisponibilità dei dati personali dovuta allo svolgimento di un intervento di manutenzione programmata del sistema che non costituisce una “violazione della sicurezza” ai sensi dell’articolo 4, punto 12.

Come nel caso della perdita o distruzione permanente dei dati personali (o comunque di qualsiasi altro tipo di violazione), una violazione che implichi la perdita temporanea di disponibilità deve essere documentata in conformità all’articolo 33, paragrafo 5, del GDPR.

Ciò aiuta il titolare del trattamento a dimostrare l’assunzione di responsabilità all’autorità di controllo, che potrebbe chiedere di consultare tali registrazioni. Tuttavia, a seconda delle circostanze in cui si verifica, la violazione può richiedere o meno la notifica all’autorità di controllo e la comunicazione alle persone fisiche coinvolte. Il titolare del trattamento dovrà valutare la probabilità e la gravità dell’impatto dell’indisponibilità dei dati personali sui diritti e sulle libertà delle persone fisiche. Conformemente all’articolo 33, il titolare del trattamento dovrà effettuare la notifica a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Si ricorda, inoltre, che il Comitato europeo per la protezione dei dati (EDPB) ha avviato una consultazione sulle Linee guida 1/2021 relative ad esempi di violazioni di dati personali. Nello stesso Provvedimento il Comitato precisa che una violazione può comportare danni fisici, materiali o immateriali per le persone fisiche i cui dati sono stati violati come ad esempio discriminazione, furto d’identità, danni reputazionali, perdite finanziarie e perdita di riservatezza dei dati personali protetti da segreto professionale.