privACY

Rischi da violazione dei dati personali: guida pratica e normativa



Indirizzo copiato

Come valutare i rischi per i diritti e le libertà personali in caso di violazione dei dati: interpretazioni intuitive e formali, strumenti normativi e le linee guida

Pubblicato il 29 nov 2024

Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista



dati personali violazione, sicurezza (1)

Il GDPR, quando tratta di violazioni di dati personali, richiede di notificarli all’Autorità di controllo “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Intuitivamente è chiaro a molti cosa si intenda, ma può essere interessante analizzare il requisito più attentamente. Vediamo meglio, addentrandoci tra le varie interpretazioni.

Interpretazione intuitiva

Un’interpretazione intuitiva porta a semplici analisi della violazione:

  • si identificano i dati personali coinvolti;
  • si determina se si tratta di dati appartenenti a categorie particolari o giudiziari e, in caso positivo,
  • si conferma che il rischio per i diritti e le libertà delle persone fisiche è alto/significativo.

Nel caso in cui non si tratti di dati appartenenti a categorie particolari o giudiziari, si riflette più attentamente sulle possibili conseguenze per gli interessati nel caso in cui quei dati vengano diffusi o resi noti a particolari persone, non siano più integri o disponibili per un certo tempo.

La valutazione del rischio è quindi di tipo qualitativo e considera principalmente le conseguenze sugli interessati derivanti dalla perdita di riservatezza, integrità e disponibilità delle informazioni.

Si osservi che, anche se in modo più approfondito, questo è l’approccio seguito dall’EDPB nelle sue “Guidelines 01/2021 on Examples regarding Personal Data Breach Notification” (versione 2.0).

Interpretazione formale

Il rischio, si sa, è determinato dalla verosimiglianza di un evento e dalle sue conseguenze.

Circa le conseguenze, potrebbe essere possibile riutilizzare le tabelle del documento ENISA “Handbook on Security of Personal Data Processing”, che parla di impatti e non di conseguenze. Esso prevede 4 livelli:

  • Low;
  • Medium;
  • High;
  • Very high.

Importante è osservare ancora che la tabella non fa riferimento alle tipologie di dati personali, ma ragiona su esempi di impatti per gli interessati (dal poco tempo perso per il livello “Low” all’incapacità di lavorare per il livello “Very high”). Inoltre, la tabella è da utilizzare per una valutazione del rischio relativo alla possibilità di subire violazioni, non successivo a una violazione, come nel caso che stiamo analizzando, però sembra riutilizzabile anche in questo secondo caso.

Per quanto riguarda la verosimiglianza, questa non riguarda quella relativa alla violazione, che è già avvenuta, ma a qualcosa d’altro, quantunque non semplicissimo da identificare.

Non a caso, infatti, con riferimento alle conseguenze in merito alla perdita di riservatezza, quando pensiamo alla verosimiglianza, ci viene a mente la possibilità che i dati vengano effettivamente diffusi o resi noti a particolari persone e che potrebbero poi arrecare problemi o danni agli interessati.

Per quanto riguarda invece la mancanza di integrità e disponibilità, la verosimiglianza potrebbe essere valutata considerando se la violazione potrebbe avere realmente negativi sugli interessati.

Perché il calcolo del livello di rischio non è semplice

A fronte di un attacco virus, sicuramente i sistemi sono stati alterati e la loro perdita di disponibilità dovrebbe essere facilmente accertata, dato che i sistemi sono stati spenti o sconnessi per poter estirpare il virus. Più complesso è accertarsi se i file sono stati alterati; dalle descrizioni dei virus e dei loro comportamenti potrebbe essere possibile ricavare informazioni in merito, ma spesso non se ne ha certezza. Stessa argomentazione vale per la violazione di riservatezza, che però potrebbe essere ancora più inverosimile se, idealmente, i dati non sono appetibili.

Da questa breve discussione, si ricava subito l’idea che un calcolo del livello del rischio secondo i suoi parametri fondamentali non è semplice.

Ad ogni modo, la guida di ENISA propone una scala molto semplice:

  • Low: the threat is unlikely to materialize;
  • Medium: there is a reasonable chance that the threat materializes;
  • High: the threat is likely to materialize.

La valutazione d’impatto sulla protezione dei dati (DPIA)

Anche l’elaborazione di una DPIA richiede di valutare se un trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche.

Per questo, si potrebbe adottare lo stesso calcolo fatto per la DPIA anche per le violazioni di dati personali.

A questo proposito si può fare riferimento alla ISO/IEC 29134:2017 dal titolo “Information technology — Security techniques — Guidelines for privacy impact assessment”.

In questa norma si trovano due scale:

  • una scala di valori da 1 a 4 per valutare l’impatto (simile alle conseguenze), dove il valore 1 è per i dati già di dominio pubblico e 4 per i dati la cui violazione può avere effetti sull’esistenza o la salute, la libertà e la vita degli interessati;
  • una scala di verosimiglianza sempre da 1 a 4, dove 1 è per eventi che non sembrano possibili, mentre 4 per quelli estremamente semplici; si vede però che anche questa scala non è applicabile ai rischi relativi ai diritti e alle libertà delle persone fisiche e andrebbe quindi modificata.

Automatizzazione del calcolo

L’interpretazione formale permetterebbe di elaborare scale di conseguenza e di verosimiglianza al fine di valutare, in modo non eccessivamente soggettivo, il rischio per i diritti e le libertà delle persone fisiche e poter quindi attivare i processi di registrazione e notifica in modo automatico.

Bisogna però prestare attenzione a che le scale siano significative, soprattutto considerando quanto sopra indicato. Vanno poi stabilite le soglie di livello di rischio per cui siano attivati i giusti processi.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3