Il GDPR, quando tratta di violazioni di dati personali, richiede di notificarli all’Autorità di controllo “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Intuitivamente è chiaro a molti cosa si intenda, ma può essere interessante analizzare il requisito più attentamente. Vediamo meglio, addentrandoci tra le varie interpretazioni.
Interpretazione intuitiva
Un’interpretazione intuitiva porta a semplici analisi della violazione:
- si identificano i dati personali coinvolti;
- si determina se si tratta di dati appartenenti a categorie particolari o giudiziari e, in caso positivo,
- si conferma che il rischio per i diritti e le libertà delle persone fisiche è alto/significativo.
Nel caso in cui non si tratti di dati appartenenti a categorie particolari o giudiziari, si riflette più attentamente sulle possibili conseguenze per gli interessati nel caso in cui quei dati vengano diffusi o resi noti a particolari persone, non siano più integri o disponibili per un certo tempo.
La valutazione del rischio è quindi di tipo qualitativo e considera principalmente le conseguenze sugli interessati derivanti dalla perdita di riservatezza, integrità e disponibilità delle informazioni.
Si osservi che, anche se in modo più approfondito, questo è l’approccio seguito dall’EDPB nelle sue “Guidelines 01/2021 on Examples regarding Personal Data Breach Notification” (versione 2.0).
Interpretazione formale
Il rischio, si sa, è determinato dalla verosimiglianza di un evento e dalle sue conseguenze.
Circa le conseguenze, potrebbe essere possibile riutilizzare le tabelle del documento ENISA “Handbook on Security of Personal Data Processing”, che parla di impatti e non di conseguenze. Esso prevede 4 livelli:
- Low;
- Medium;
- High;
- Very high.
Importante è osservare ancora che la tabella non fa riferimento alle tipologie di dati personali, ma ragiona su esempi di impatti per gli interessati (dal poco tempo perso per il livello “Low” all’incapacità di lavorare per il livello “Very high”). Inoltre, la tabella è da utilizzare per una valutazione del rischio relativo alla possibilità di subire violazioni, non successivo a una violazione, come nel caso che stiamo analizzando, però sembra riutilizzabile anche in questo secondo caso.
Per quanto riguarda la verosimiglianza, questa non riguarda quella relativa alla violazione, che è già avvenuta, ma a qualcosa d’altro, quantunque non semplicissimo da identificare.
Non a caso, infatti, con riferimento alle conseguenze in merito alla perdita di riservatezza, quando pensiamo alla verosimiglianza, ci viene a mente la possibilità che i dati vengano effettivamente diffusi o resi noti a particolari persone e che potrebbero poi arrecare problemi o danni agli interessati.
Per quanto riguarda invece la mancanza di integrità e disponibilità, la verosimiglianza potrebbe essere valutata considerando se la violazione potrebbe avere realmente negativi sugli interessati.
Perché il calcolo del livello di rischio non è semplice
A fronte di un attacco virus, sicuramente i sistemi sono stati alterati e la loro perdita di disponibilità dovrebbe essere facilmente accertata, dato che i sistemi sono stati spenti o sconnessi per poter estirpare il virus. Più complesso è accertarsi se i file sono stati alterati; dalle descrizioni dei virus e dei loro comportamenti potrebbe essere possibile ricavare informazioni in merito, ma spesso non se ne ha certezza. Stessa argomentazione vale per la violazione di riservatezza, che però potrebbe essere ancora più inverosimile se, idealmente, i dati non sono appetibili.
Da questa breve discussione, si ricava subito l’idea che un calcolo del livello del rischio secondo i suoi parametri fondamentali non è semplice.
Ad ogni modo, la guida di ENISA propone una scala molto semplice:
- Low: the threat is unlikely to materialize;
- Medium: there is a reasonable chance that the threat materializes;
- High: the threat is likely to materialize.
La valutazione d’impatto sulla protezione dei dati (DPIA)
Anche l’elaborazione di una DPIA richiede di valutare se un trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche.
Per questo, si potrebbe adottare lo stesso calcolo fatto per la DPIA anche per le violazioni di dati personali.
A questo proposito si può fare riferimento alla ISO/IEC 29134:2017 dal titolo “Information technology — Security techniques — Guidelines for privacy impact assessment”.
In questa norma si trovano due scale:
- una scala di valori da 1 a 4 per valutare l’impatto (simile alle conseguenze), dove il valore 1 è per i dati già di dominio pubblico e 4 per i dati la cui violazione può avere effetti sull’esistenza o la salute, la libertà e la vita degli interessati;
- una scala di verosimiglianza sempre da 1 a 4, dove 1 è per eventi che non sembrano possibili, mentre 4 per quelli estremamente semplici; si vede però che anche questa scala non è applicabile ai rischi relativi ai diritti e alle libertà delle persone fisiche e andrebbe quindi modificata.
Automatizzazione del calcolo
L’interpretazione formale permetterebbe di elaborare scale di conseguenza e di verosimiglianza al fine di valutare, in modo non eccessivamente soggettivo, il rischio per i diritti e le libertà delle persone fisiche e poter quindi attivare i processi di registrazione e notifica in modo automatico.
Bisogna però prestare attenzione a che le scale siano significative, soprattutto considerando quanto sopra indicato. Vanno poi stabilite le soglie di livello di rischio per cui siano attivati i giusti processi.
