Regolamento - 27/04/2016 - n. 679 art. 4 - Definizioni

Ada Fiaschi

Definizioni

Ai fini del presente regolamento s'intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16) «stabilimento principale»:

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

17) «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

19) «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

20) «norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune;

21) «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51;

22) «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto:

a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

23) «trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

24) «obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione;

25) «servizio della società dell'informazione»: il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;

26) «organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Inquadramento

L'istituto del personal data breach (violazione dei dati personali), di seguito sinteticamente “PDB”, va collocato in una prospettiva assai ampia, descrivendo qualsiasi violazione di sicurezza che determini, anche solo accidentalmente, la partecipazione dei dati personali a soggetti (anche interni alla struttura del titolare) che di essi non devono avere conoscenza o la compromissione dei dati personali, al limite perfino la loro distruzione o perdita. Sul piano concreto, perciò, tutte le volte in cui una violazione di sicurezza, anche di natura meramente organizzativa, non resti latente ma produca le conseguenze predette, ci si colloca nell'area del PDB, con poche eccezioni riconducibili a situazioni prontamente risolte, a rilevanza soltanto interna del titolare del trattamento e comunque, anche in questo caso, prive di effetti per le informazioni riferibili agli interessati oppure riconducibili a situazioni non qualificabili come violazioni di sicurezza. In definitiva, il PDB costituisce evenienza tutt'altro che occasionale e va, nei limiti del possibile, affrontato in un'ottica preventiva prima ancora che successiva, disinnescandolo, finché è ancora in potenza, attraverso un'attenta revisione dei processi e delle dotazioni informatiche. Concettualmente, è proprio il richiamo alla sicurezza insito nella definizione dell'istituto che colloca l'attenzione dell'interprete in una prospettiva anticipatoria, ponendo dunque il potenziale PDB quale oggetto (il principale) dell'analisi del rischio (cfr. infra § 2). Ciò permette di considerare la mancata osservanza della sicurezza non su un piano di mera forma ma in collegamento funzionale con le possibili conseguenze lesive che potrebbero derivarne agli interessati. Giova notare, ed è indice del notevole arretramento della soglia di rilevanza giuridica, che tuttavia anche i PDB che, una volta manifestati, non presentino conseguenze lesive né probabili né gravi per l'interessato vanno nondimeno documentati (art. 33.5 GDPR). La probabilità e la gravità del rischio incidono semmai su altri profili, quali la notifica all'autorità di controllo e la comunicazione agli interessati, dunque su obblighi lato sensu di pubblicità. Per questo è riduttivo leggere il PDB soltanto in chiave di nozione presupposta all'assolvimento degli obblighi di notifica e comunicazione: il rapporto è semmai rovesciato, il PDB ha una collocazione strutturale nell'architettura del Regolamento, laddove i descritti obblighi di pubblicità ne sono solo una conseguenza applicativa in casi specifici. Più esattamente, l'istituto in commento va ricondotto alla stessa ossatura concettuale profonda dell'atto normativo europeo, collocandosi pienamente, già quale esito negativo da stornare e prevenire, nell'area applicativa del principio di accountability: accountability è cioè prefigurarsi i possibili PDB nella situazione concreta analizzata, depotenziandone a priori le possibilità di verificazione e comunque le conseguenze pregiudizievoli per l'interessato. Addirittura le LG PDB (cfr. ivi Annex B es. n. i, p. 31) danno rilevanza a situazioni nelle quali non ricorrano i requisiti necessari di cui all'art. 4.12), ma che siano suscettibili di evolvere in PDB, come nel caso dello smarrimento di supporti contenenti dati cifrati, la cui chiave, pro tempore robusta, potrebbe essere compromessa in futuro. Accountability è naturalmente non solo attenuare il rischio di PDB, ma anche saper intervenire immediatamente ove questo si sia comunque materializzato, con l'obiettivo di eliminare/contenere quanto possibile i profili di rischio o già di danno agli interessati.

I due momenti di una valutazione del PDB

Sviluppando i rilievi appena esposti, rileva notare che il PDB (o meglio il rischio di PDB) costituisce, per espressa previsione norma tiva, il principale parametro («in special modo», cfr. art. 32, par. 2) alla stregua del quale condurre un'analisi del rischio in materia di sicurezza. Se si confronta infatti l'art. 32, par. 2 con il 4.12) qui in commento ne risulta immediata la sovrapposizione. Per la precisione, l'analisi del rischio interviene allora in almeno due momenti. In un momento preparatorio, nel quale l'analisi è, nella sostanza, principalmente diretta a valutare la possibilità di occorrenza di un PDB (e di intercettazione dello stesso quale “PDB” da parte del titolare del trattamento). In un momento successivo, che si manifesta qualora il PDB effettivamente si verifichi, una nuova analisi del rischio sarà volta a valutarne da un lato i parametri di probabilità e gravità, dall'altro natura, eziologia, propagazione, in modo da dare piena attuazione a quanto previsto, ove applicabile, dagli artt. 33 e 34 GDPR. Le due fasi, si noti, hanno obbligati diversi: della prima rispondono sia il titolare sia il responsabile del trattamento, ciascuno per la propria parte (cfr. art. 32.1 GDPR), della seconda soltanto il titolare del trattamento (cfr. art. 33.1 GDPR) ancorché il responsabile debitamente contrattualizzato sia tenuto a fornire collaborazione, se ciò è pertinente, al titolare, cfr. art. 28, par. 3, lett. f) GDPR. I considerando 75 e 85 riflettono esattamente questo modello: il primo elenca le conseguenze dannose per l'interessato che il titolare del trattamento (e il responsabile) devono valutare in sede di anticipazione, vale a dire di analisi del rischio utile alla predisposizione di misure di sicurezza preventive, il secondo pone le stesse conseguenze nella prospettiva del danno risarcibile all'interessato.

«Va osservato che la valutazione del rischio per i diritti e le libertà delle persone fisiche a seguito di una violazione esamina il rischio in maniera diversa rispetto alla valutazione d'impatto sulla protezione dei dati. Quest'ultima considera tanto i rischi del trattamento dei dati svolto come pianificato, quanto quelli in caso di violazione. Nel considerare una potenziale violazione, esamina in termini generali la probabilità che la stessa si verifichi e il danno all'interessato che potrebbe derivarne; in altre parole, si tratta di una valutazione di un evento ipotetico. Nel caso di una violazione effettiva, l'evento si è già verificato, quindi l'attenzione si concentra esclusivamente sul rischio risultante dell'impatto di tale violazione sulle persone fisiche» (EDPB, LG PDB, punto 104, trad. conforme a precedenti linee guida). È appena il caso di notare che la valutazione d'impatto (DPIA) è, ontologicamente, un'analisi del rischio.

Gli elementi costitutivi del PDB

Strutturalmente, gli elementi costitutivi della nozione di PDB sono tre:

1. violazione di sicurezza, che ne costituisce il presupposto;

2. modalità, che può essere non solo illecita ma anche semplicemente accidentale;

3. conseguenze sui dati personali oggetto di trattamento, articolate secondo cinque tipologie: distruzione, perdita, modifica, divulgazione, accesso non autorizzati.

Violazione della sicurezza e mancata governance

Va evidenziato che non tutte le violazioni di sicurezza determinano necessariamente un PDB ai sensi del Regolamento, potendo riguardare informazioni non connesse a persone fisiche identificate o identificabili (cfr. LG PDB, punto 15). Non tutti i data breach sono cioè anche personal data breach.

Sotto altro profilo, giova ricordare che la sicurezza dei trattamenti di dati personali non è esclusivamente di tipo informatico o fisico ma anche organizzativo. Possono dunque determinare un PDB insufficienze organizzative originanti da un mancato censimento dei flussi di dati personali interni o esterni alla struttura del titolare che ne determini la sottrazione alla sfera di controllo dello stesso; la carenza di policy necessarie che, producendo incertezze sulle operazioni consentite, determini accessi indebiti; l'omessa individuazione di profili di autorizzazione (chi può accedere a che cosa), laddove questi dovrebbero essere definiti; la concessione di autorizzazione a soggetti che non devono averla; deficienze nell'allocazione dei ruoli di trattamento (contitolari, titolari autonomi, responsabili, autorizzati), che producano operazioni sui dati personali incompatibili con la normativa; la mancata applicazione, dove possibile, della pseudonimizzazione, che determini una compromissione di sicurezza delle informazioni. Beninteso, le ipotesi esemplificative descritte devono determinare le conseguenze dell'art. 4.12) GDPR per rilevare in termini di PDB, ma ne costituiscono un facile precursore. Più in generale, l'insufficiente esecuzione delle attività di analisi e di attuazione degli adempimenti prescritti dal Regolamento e dalle disposizioni nazionali costituisce di per sé presupposto per un PBD, nella misura in cui sia idonea ad aprire falle nella sicurezza. In definitiva, la mancata governance dei trattamenti di dati personali è direttamente connessa con la possibilità che si verifichi una situazione come quella in commento.

«Deve [...] essere segnalata la condotta negligente e omissiva tenuta dalla Società la quale, durante un assai ampio arco temporale, anche in tempi successivi alla segnalazione dell'erroneità delle predette assegnazioni, in violazione del principio di correttezza nel trattamento (art. 11, comma 1, lett. a), del codice), non ha svolto le necessarie verifiche che avrebbero potuto assicurare l'approntamento di rimedi nei confronti del reclamante anzitutto e, quindi, di quanti si trovano in una situazione analoga.

Né viene meno l'illiceità della condotta tenuta sulla base degli asseriti malfunzionamenti dei propri sistemi informativi nella fase di “travaso” dei dati dal vecchio sistema gestionale al Crm della cui eziologia il titolare del trattamento non è stato in grado di fornire prova alcuna. Peraltro, muovendo dalla sopra sintetizzata diversità dei disallineamenti rilevati nel Crm, filtrati nelle fatture e, quindi, cristallizzati nel “RAC” – limitandoci qui ai soli sistemi interni alla società che hanno formato oggetto di verifica – plurimi appaiono i malfunzionamenti che la Società non è stata in grado di prevenire e, quindi, nonostante le reiterate segnalazioni provenienti da soggetti diversi, tempestivamente rilevare, censire e, infine, governare. Tale difficoltà di far luce sulla natura e sulle ragioni dei malfunzionamenti verificatisi, oltre che di porre rimedi agli stessi con adeguate misure tecniche che non si limitassero a “tamponare” la singola richiesta, ma ad incidere strutturalmente sull'architettura informativa del Crm, lungi dall'allontanare la riconducibilità alla Società di quanto avvenuto e dunque la sua responsabilità a tale riguardo (cfr. art. 15 del codice), evidenzia una poco attenta gestione dei menzionati sistemi che rappresentano i gangli vitali della propria infrastruttura informativa, interessando direttamente la clientela.

La suddetta responsabilità non è venuta meno, ed anzi si è aggravata, con l'inerzia tenuta dalla Società dopo che, pur avendo avuto, in più occasioni, notizia dell'accaduto dal reclamante nonché da altri clienti, anche in relazione all'erroneo inserimento in fattura del codice fiscale del reclamante, non ha dato prova di aver posto in essere alcuna idonea misura per definire il perimetro dei malfunzionamenti ed eliminarne le conseguenze pregiudizievoli in capo al reclamante, anzitutto, ma anche, come si è visto, in capo agli altri clienti interessati da quanto verificatosi» (GPDP, 6 aprile 2017 [6376175] § 4.2 e ss., fattispecie ricondotta all'abrogato art. 32-bis cod. privacy, e oggi inscrivibile nell'art. 4.12 GDPR).

«Accidentalmente o in modo illecito»

Dalla formulazione dell'art. 4.12) in commento appre contemplata dal legislatore l'intera escursione di possibilità che va dall'estremo del dolo fino al caso fortuito («accidentalmente»). L'elemento soggettivo non rileva quindi ai fini della definizione di PDB, rileva piuttosto ai fini sanzionatori, come espressamente previsto dall'art. 83, par. 2, lett. b), d) e k) GDPR, e a quelli risarcitori.

Conseguenze sui dati personali trattati

La disposizione enuncia cinque tipologie di impatto sui dati personali: distruzione, perdita, modifica, divulgazione o accesso non autorizzati. Questa costruzione a cinque elementi si presta ad essere ricondotta al più familiare schema tripartito “confidentiality, integrity, availability breach”, che costituisce il riferimento stabile in ambito di sicurezza informatica (cfr. Enisa, ex multis, Recommendations cit.). Più esattamente:

– Il confidentiality breach, ossia la violazione della riservatezza dei dati personali, descrive la fuoriuscita degli stessi dallo spazio conoscitivo riconosciuto solo a soggetti che vi possono accedere su valido presupposto giuridico (tipicamente gli autorizzati del titolare e del responsabile, cfr. art. 29 GDPR). Divulgazione e accesso non autorizzati sono appunto declinazioni del confidentiality breach, che rispettivamente descrivono il dare conoscenza (divulgazione) o il prendere conoscenza (accesso) dei dati personali in modo non conforme alla normativa. Ad esempio l'accesso non autorizzato da parte di dipendenti di una società o la divulgazione agli stessi di informazioni che costoro non devono conoscere può integrare confidentiality breach.

– L'integrity breach, ossia la violazione dell'integrità dei dati personali, indica invece l'alterazione delle informazioni personali, inclusa la perdita di completezza delle stesse o, per converso, l'aggiunta arbitraria di elementi, dunque, appunto, la modifica non autorizzata di dati personali. Essendo il dato personale un aggregato di informazioni collegate, anche indirettamente, a uno o più identificativi, qualsiasi intervento che altera in maniera non autorizzata questa struttura dovrebbe essere attratto, almeno in potenza, nel concetto di integrity breach. Si pensi al collegamento arbitrario di informazioni a soggetti del tutto estranei alle stesse, sostituendo per esempio gli identificativi originari con altri. Vanno in ogni caso analizzate di volta in volta le fattispecie concrete.

– L'availability breach riguarda la violazione della disponibilità dei dati personali. Distruzione e perdita sono conseguenze dannose che determinano l'impossibilità di fruire dei dati personali. Non si ravvisa distruzione quando siano disponibili duplicati utilizzabili (es. copie di backup non compromesse e ripristinabili). “Perdita”, chiarisce l'EDPB, vuol dire non solo cessazione del possesso (es. ad esito di smarrimento o furto, si pensi allo smarrimento di un dispositivo usb contenente dati personali), ma anche perdita dell'accesso ai dati personali. Es., si pensi all'illeggibilità di informazioni dovuta a corruzione irrecuperabile del file system; oppure a cifratura di dati da attacco ransomware. L'esito della distruzione o della perdita è lo stesso: l'irrecuperabilità dei dati personali e dunque l'impossibilità di utilizzarli.

«Il significato di “distruzione” dei dati personali dovrebbe essere abbastanza chiaro: si ha distruzione dei dati quando gli stessi non esistono più o non esistono più in una forma che sia di qualche utilità per il titolare del trattamento. Anche il concetto di “danno” [“damage”, qui va inteso nel senso di “integrity breach”, n.d.a.] dovrebbe essere relativamente evidente: si verifica un danno quando i dati personali sono stati modificati, corrotti o non sono più completi. Con “perdita” dei dati personali si dovrebbe invece intendere il caso in cui i dati potrebbero comunque esistere, ma il titolare del trattamento potrebbe averne perso il controllo o l'accesso, oppure non averli più in possesso» (EDPB, LG PBD, punto 14, trad. italiana conforme alla precedente versione delle linee guida).

Cumulo di violazioni

Le violazioni descritte possono verificarsi disgiuntamente o congiuntamente tra loro. Lo smarrimento di un supporto di memorizzazione può cumulare un availability breach con un confidentiality breach (quest'ultimo solo se i dati personali contenuti non sono stati cifrati con una chiave robusta). Se esistono altre copie dei dati, si verificherà solo un confidentiality breach. Oppure, se le informazioni sono anche protette con una chiave di cifratura robusta, nessuna di queste ipotesi, dunque non si sarà propriamente in presenza di un PDB, anche se la potenziale accessibilità dei dati (la chiave di cifratura potrebbe nel tempo perdere le proprie qualità) richiede una sorveglianza attenta nel futuro. Sono evidenti dall'esempio proposto i vantaggi di rappresentarsi anticipatamente il rischio e di adottare misure di sicurezza adeguate, nella specie un sistema di cifratura all'avanguardia e una procedura corretta di backup dei dati personali, che possono collocare un evento come quello descritto fuori dall'area di un PDB attuale. Palese anche l'utilità del ricorso concettuale al modello proposto (tripartito o a cinque elementi) poiché permette di vagliare in concreto e in maniera analitica quali accadimenti costituiscano, a rigore, PDB e la presenza eventuale di molteplici profili di compromissione. Va notato infine che in alcuni casi una medesima vicenda si presta a essere contemporaneamente sussunta in più di una tipologia di violazione, così la cifratura da attacco ransomware può essere considerata tanto sub specie di availability breach tanto quale integrity breach.

L'indisponibilità meramente temporanea

«Perdita» è un concetto definitivo, fatti salvi casi fortuiti e imprevedibili di recupero delle informazioni, riconducibili propriamente alla nozione di smarrimento. La perdita di dati personali, nel duplice significato già detto di perdita di possesso e di perdita di accesso da parte del titolare, sembra perciò, di regola, incompatibile con situazioni meramente temporanee e pacificamente reversibili, quali un'indisponibilità soltanto provvisoria delle informazioni destinata a essere ristabilita. Si pensi in proposito all'interruzione dell'accesso a sistemi telematici, a causa, per esempio, di una prolungata mancanza di energia elettrica o a un attacco Ddos. Quali evidenti casi applicativi, si può pensare all'interruzione della consultazione di dati sanitari in una struttura ospedaliera, all'interruzione del servizio di deposito e consultazione nella piattaforma del processo civile telematico, all'interruzione di collegamento a server che gestiscono transazioni finanziarie. Tutte queste ipotesi sono suscettibili di determinare danno risarcibile agli interessati e di essere presupposto per l'attività sanzionatoria del Garante, tuttavia può risultare controverso sussumerle nel concetto di “perdita” dei dati personali e dunque di PDB. La particolare declinazione di availability breach assunta nell'art. 4.12) è infatti limitata alle due ipotesi citate della distruzione e appunto della perdita e non sembra contemplare esiti temporanei e provvisori quali l'indisponibilità tout court.

Nondimeno, va segnalato che nelle linee guida dell'EDPB, punto 20 e ss., si ritiene sussumibile nella nozione giuridica di PDB anche l'interruzione temporanea di un servizio, purché significativa rispetto al trattamento svolto. La ratio andrebbe ricercata nel fatto che l'art. 32 GDPR enuncia, alle lett. da a) a d), attività che integrano ex lege misure di sicurezza, ancorché non necessariamente obbligatorie in ogni situazione di trattamento («se del caso»). Orbene, la lett. b) indica che costituisce misura di sicurezza la capacità di assicurare in modo continuativo («permanente» è traduzione imprecisa di «ongoing») riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento. L'interruzione della disponibilità di sistemi e servizi è dunque certamente una violazione di sicurezza, tuttavia, a ben guardare, integra soltanto la prima parte della definizione di PDB, laddove, ai fini della completa sussistenza dello stesso, andrebbe constatata almeno una delle possibili cinque tipologie di impatto descritte dal legislatore, tra le quali non rientra a rigore l'interruzione temporanea. Solo forzando il dettato normativo e intendendo perdita dei dati personali trattati come interruzione anche solo temporanea (ma significativa) di controllo sugli stessi sembra dunque possibile includere l'indisponibilità temporanea nella definizione di PDB, nei termini enunciati dall'art. 4.12) GDPR. Va ad ogni modo osservato che quello adottato dall'EDPB sembra essere l'approccio interpretativo maggioritario e risponde a esigenze assai comprensibili di tutela degli interessati.

«Può verificarsi perdita di disponibilità anche in caso di interruzione significativa del servizio abituale di un'organizzazione, ad esempio un'interruzione di corrente o attacco da “blocco di servizio” (denial of service) che rende i dati personali indisponibili» (EDPB, LG PDB, punto 19, trad. italiana conforme alla precedente versione delle linee guida).

PDB e danno alla persona.

Divulgazione e accesso non autorizzati, modifica non autorizzata, distruzione non autorizzata e perdita possono determinare o non determinare, a seconda dei casi, un danno-conseguenza alla persona. In ogni caso, sono di regola idonei – in mancanza di reazione adeguata e tempestiva – a evolvere in danno-conseguenza risarcibile, come espressamente indicato dal considerando 85. Più esattamente, il considerando richiamato e il gemello 75 elencano varie tipologie di conseguenze dannose per l'interessato: si tratta di un elemento notevole sul piano civilistico poiché contiene l'enunciazione di ipotesi di danno “conseguenza” ex lege. Giova riportare il disposto del considerando 85: «Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica». L'ultimo elemento dell'elencazione costituisce clausola aperta. Da rimarcare l'individuazione del danno-conseguenza costituito dalla “perdita del controllo” riconosciuto all'interessato sui propri dati, controllo che costituisce l'espressione immediata dello stesso diritto alla protezione dei dati personali, contrapposto alla pretesa negativa di non essere invasi nella propria sfera di riservatezza (“right to be let alone”), che connota invece propriamente il diritto alla privacy/riservatezza. Per un chiarimento sul diritto di controllare i propri dati si rimanda al commento subart. 1 GDPR.

Le conseguenze enunciate ai considerando 75 e 85 riempiono anche, in chiave anticipatoria (come già notato), il contenuto del rischio da prevenire che connota il possibile PDB. Queste conseguenze enunciate ex lege forniscono perciò, nell'analisi di rischio sul PDB, gli elementi di riferimento alla stregua dei quali condurre analisi stessa e predisporre misure preventive adeguate.

Bibliografia

Giannone Codiglione, Risk-based approach e trattamento dei dati personali, IV, in Sica-D'Antonio - Riccio (a cura di), La nuova disciplina europea della privacy, Padova 2016; Vigliar, Data breach e sicurezza informatica, in Sica - D'Antonio- Riccio (a cura di), La nuova disciplina europea della privacy, XII, Padova 2016.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Cerca nel testo

Sommario

Testo articolo