PRIVACY PILLS: 7 – Sicurezza e Violazione dei dati
SICUREZZA E VIOLAZIONE DEI DATI – DATA BREACH
Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate:
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al “Consenso”
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all’ “Informativa”.
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a “il Responsabile”
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai “Diritti dell’Interessato”
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a “I Soggetti Coinvolti”
PILL 6 : ( Articolo Online del 30 Aprile ) la tematica relativa a “Responsabilizzazione del trattamento”
La pillola di oggi riguarda: la Sicurezza dei Dati e la Violazione dei Dati (Data Breach)
Una violazione dei dati, o data breach, è una Violazione della Sicurezza in cui dati sensibili, protetti o confidenziali vengono
– copiati
– trasmessi
– visualizzati
– rubati
– utilizzati
da un individuo non autorizzato a farlo.
Il tema della Sicurezza è connesso a doppio filo con quello della data breach poiché questa ha un’accezione molto più ampia di quella comune che la identifica nell’hackeraggio. Infatti, la sua definizione comprende non solo il furto di dati personali, ma anche la semplice copia, trasmissione, utilizzazione o anche solo visualizzazione da parte di un individuo non autorizzato a farlo. Tale soggetto potrebbe essere finanche appartenente all’organizzazione del Titolare del Trattamento ma sprovvisto delle autorizzazioni necessarie per poter accedere a determinati dati personali.
Cosa cambia:
- Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento. Si richiama l’attenzione anche sulla possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate. Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell’Allegato “B” al Codice, l’Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni; inoltre, per alcune tipologie di trattamenti (quelli di cui all’art. 6, paragrafo 1, lettere c) ed e) del regolamento), potranno restare in vigore, in base all’art. 6, paragrafo 2, del regolamento, le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.
- A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’art. 34, che coincidono solo in parte con quelle attualmente menzionate nell’art. 32-bis del Codice. I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli art. 33 e 34 del regolamento. Su questo e su tutta la disciplina in materia, il Comitato europeo della protezione dati (si veda art. 70, paragrafo 1, lettere g) e h) ) è chiamato a formulare linee-guida specifiche, alle quali sta già lavorando il Gruppo “Articolo 29”. Si ricorda, inoltre, che l’Autorità ha messo a disposizione un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico che intende rielaborare al fine di renderlo utilizzabile da tutti i titolari di trattamento secondo quanto prevede il regolamento.
Cosa Fare?
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico, proporremo alcune semplici idee per poter approcciare alle novità del GDPR.
- Come osservato nei consigli della pillsprecedente alla presente, ricorrere integralmente a metodi “fai da te” rappresenta nella maggior parte dei casi una soluzione che può portare a gravi conseguenze, tuttavia, escludendo la pretesa di risolvere in proprio il problema, effettuare una prima autovalutazione potrebbe costituire buon punto di partenza per approcciare e risolvere il problema, nonché un’attività perfettamente in linea con il principio di responsabilizzazione analizzato sempre nella pills precedente. Solo ed esclusivamente in quest’ottica si consiglia di iniziare una riflessione sulla propri sistemi di sicurezza per la protezione dei dati personali trattati, per arrivare a formare una propria convinzione in merito alle misure necessarie da implementare.
- Altro semplice consiglio è quello di fare riferimento alle prescrizioni contenute in standard internazionali di sicurezza, ovvero a quelle contenute nell’Allegato “B” del Codice Privacy Italiano. L’Italia, infatti, come successo in molti settori, ha recepito la Direttiva 46/95/CE con molto zelo, introducendo molte prescrizioni le cui fondamenta, a distanza di 15 anni, rappresentano i cardini della “nuova” normativa europea.
- Posted by MepLaw
- On 9 Maggio 2018