Data Breach: violazioni di dati personali

Data Breach: violazioni di dati personali.
Responsabilità Dirigenziali e adempimenti nelle Istituzioni scolastiche. Stato dell’Arte e ricognizione normativa.

di Dario Angelo Tumminelli, Carmelo Salvatore Benfante Picogna, Zaira Matera

La tutela dei dati personali, è un diritto che trae origini dai principi costituzionali, strettamente legati alla tutela della dignità della persona umana.

La definizione di trattamento dei dati personali è davvero molto ampia, complessa e articolare. Per trattamento si intende qualsiasi operazione applicata ai dati personali (o insieme di operazioni), compiute con o senza l’ausilio di processi automatizzati applicato a dati personali (o insiemi di dati personali), concernenti: l’identificazione, la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati.

Riferimenti normativi

In Italia la prima norma giuridica, finalizzata alla tutela dei dati personali risale al 1996, con Legge 31 dicembre 1996, n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” comunemente nota al grande pubblico come “Legge sulla privacy”, pubblicata sulla Gazzetta Ufficiale n. 5 dell´8 gennaio 1997 – Suppl. Ordinario n. 3. La citata legge istitutiva una particolare autorità amministrativa indipendente, oggi conosciuta come Garante per la protezione dei dati personali o semplicemente Garante della Privacy”. La legge fu successimene abrogata dal Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” pubblicato in Gazzetta Ufficiale n. 174 del 29 luglio 2003 – Suppl. Ordinario n. 123, meglio conosciuto come “Codice della Privacy”.

Il 25 maggio 2018 è entrato in vigore il Regolamento (UE) 2016/679, noto con l’acronimo GDPR “Regolamento generale sulla protezione dei dati” del Parlamento europeo e del Consiglio del 27 aprile 2016.

Approfondimento È noto che il regolamento è una fonte di diritto derivato dai Trattati comunitari ed è un atto normativo avente forza di legge di portata generale, vincolante e obbligatorio in tutti i suoi elementi contenuti, direttamente applicabile una volta pubblicato Gazzetta Ufficiale dell’Unione Europea, negli Ordinamenti degli Stati membri ai sensi dell’art. 288, par. 2 del Trattato sul funzionamento dell’UE.

Il citato Regolamento abroga la precedente Direttiva 95/46/CE, prevedendo l’applicazione di specifiche misure di protezione e sicurezza quando si effettua un trattamento di dati personali e riconosce all’interessato, determinati diritti di tutela e trasparenza.

In Italia il percorso di adeguamento al Regolamento (UE) 2016/679 GDPR, è stato avviato con una apposita Legge delega 25 ottobre 2017, n. 163 “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017” pubblicato in Gazzetta Ufficiale n. 259 del 06 novembre 2017.

In seguito alla delega, il Governo ha emanato il Decreto Legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati” conosciuto più semplicemente come “Decreto di adeguamento al GDPR” pubblicato in Gazzetta Ufficiale Serie Generale n. 205 del 04 settembre 2018.

Il vecchio “Codice della Privacy” dell’96 è stato dunque profondamente modificato, aggiornato e adeguato alla disciplina europea nelle sue disposizioni. Il sopracitato Decreto legislativo 101/2018 ha di fatto adeguato la normativa Italiana alla normativa Europea “armonizzandola” pienamente, anche se ad onor del vero, trattandosi di un Regolamento UE, lo si attua di fatto essendo immediatamente applicabile nell’atto della sua pubblicazione in Gazzetta.

Il “Codice della Privacy” per quasi un ventennio ha garantito il rispetto del trattamento dei dati personali, ancora oggi in vigore in Italia, limitatamente a quelle disposizioni che non contrastano o non si sovrappongono con quelle del Regolamento (UE) 2016/679 e che soprattutto, sono con esso compatibili.

Anche quest’ultimo Decreto legislativo 101/2018 ha subito ulteriori modifiche, apportate dalla Legge 27 dicembre 2019 n. 160 (Legge di bilancio triennio 2020-22), dal Decreto Legge 14 giugno 2019, n. 53, e da ultimo anche dalle indicazioni contenute dal Decreto Ministeriale del 15 marzo 2019.

Il Garante per la protezione dei dati personali, specifica autorità di controllo, ha elaborato di suo pugno e reso pubblica una versione “arricchita” e “ragionata” del testo del Regolamento GDPR, in modo da offrire all’utenza interessata, una lettura più ampia delle previsioni introdotte dalla nuova normativa. Il testo è aggiornato con rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione europea 127 del 23 maggio 2018.

In buona sostanza la normativa sulla sicurezza e protezione dei dati personali è in continua evoluzione,seguendo costantemente la rapida evoluzione tecnologica, che ha implementato in modo esponenziale la libera circolazione dei dati personali rendendo così cogente un adeguamento normativo specifico a livello europeo.

Le Istituzioni scolastiche sono certamente coinvolte nella applicazione di tutta la normativa sopra citata. Tra gli adempimenti perentori che il responsabile legale dell’Istituzioni scolastiche deve adempiere, ovvero del Dirigente scolastico, rientrano la nomina del RPD – Responsabile Protezione dei Dati, la tenuta di un apposito Registro delle attività di trattamento e la predisposizione e alcune misure specifiche, tra le quali: la formazione del personale sulle procedure di sicurezza e protezione dei dati (ad esempio uso di password e l’accesso a specifici sistemi di elaborazione e trasmissione dati). Le misure sono volte ad assicurare la sicurezza fisica e il controllo degli accessi agli edifici e alle zone in cui sono ospitate le risorse a supporto del trattamento (documenti cartacei e strumenti informatici). Il GDPR precede che i processi di gestione dell’archivio, per assicurare che i documenti cartacei contenenti dati personali utilizzati durante il trattamento siano consultati, archiviati, trasmessi, e ove previsto distrutti, nel pieno rispetto delle norme attualmente vigenti.

Le Istituzioni scolastiche acquisiscono, gestiscono e conservano, sotto la propria responsabilità, la documentazione; necessaria per lo svolgimento di tutte le attività relative alla carriera scolastica e al rapporto con gli alunni, i genitori, il personale scolastico nella quale sono presenti anche dati personali. Il modello organizzativo e di gestione della privacy nelle Istituzioni scolastiche costituisce il fondamento per la sicurezza dei dati personali trattati dalla scuola, con la definizione dei processi volti a controllare i rischi che i trattamenti pongono sui diritti e le libertà delle persone interessate l’individuazione di ruoli e responsabilità di chi ha accesso ai dati personali.

Fatta questa necessaria premessa,

esplicitati gli aspetti più generali, ci addentriamo nel merito del caso proposto ovvero sulle responsabilità del Dirigente scolastico e i relativi adempimenti che dovrà affrontare l’Istituzione scolastica in caso in cui si verifichi un “Data Breach” o semplicemente una violazione di dati personali.

Il Data Breach è dunque una violazione di sicurezza accidentale o meno, comunque in modo illecito che può comportare la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può, per la sua stessa natura, compromettere la riservatezza di dati personali, l’integrità o la disponibilità.

A titolo di esempio se ne riportano alcuni casi possibili:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

Il “Garante della Privacy” ha fornito delle utili indicazioni in caso di accertata violazione, facilmente consultabile e reperibili sul sito dal link: https://www.garanteprivacy.it/regolamentoue/databreach

Di seguito vengono riportate alcune parti tratte dal sito ufficiale del Garante.

Corre l’obbligo di precisare che tale pagina è in continuo e costante aggiornamento, in evoluzione della normativa specifica di settore.

Il titolare del trattamento, soggetto sia pubblico che privato, (impresa associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza di una violazione, deve notificare la stessa al Garante a meno che sia improbabile che la violazione dei dati personali comporti un rischio effettivo per i diritti e le libertà delle persone fisiche. Stessa e identica procedura se è il responsabile del trattamento che viene a conoscenza di una eventuale violazione, egli è tenuto a informare tempestivamente il titolare in modo che possa attivarsi e notificare a sua volta al Garante. Qualora la notifica al Garante viene effettuata oltre il termine delle 72 ore, la stessa deve essere sempre accompagnata da comprovati motivi sul ritardo. Se la violazione comporta un “rischio elevato” per i diritti delle persone, il titolare deve comunicarla prontamente a tutti gli interessati, utilizzando i canali più idonei. Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, predisponendo un apposito registro, dove annotare tutte le violazioni. Tale documentazione consente all’Autorità di effettuare i dovuti controlli sul rispetto della normativa.

Ovviamente vanno notificate solamente le violazioni di dati personali che possono avereconcreti effetti avversi e/o significativi sugli individui, causando danni fisici, materiali o immateriali. 

A titolo di esempio: furto d’identità o rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, o ancora una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

A partire dal 1 luglio 2021, la notifica di una violazione deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e resa raggiungibile all’indirizzo: https://servizi.gpdp.it/databreach/s/, come espressamente previsto nel Provvedimento del 27 maggio 2021 consultabile dal seguente link:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9667201

Il Garante può prescrivere misure correttive (vedi art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.

Si ricorda che in caso di inadempienze sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale. 

Con la piena applicazione del Regolamento GDPR, dal 2018 ad oggi, le notifiche prevenute di “data breach” al “Garante della Privacy” sono state ben 4.778, sia da soggetti pubblici sia privati, ed il settore maggiormente colpito è la Sanita. Secondo quanto riportato in una intervista ad Agostino Ghiglia, componente del Garante per la protezione dei dati personali “Senza dubbio il settore sanitario, messo a dura prova dalla pandemia, è stato nel corso del 2020 il bersaglio preferito di mirati attacchi informatici che, in termini numerici, sono stati 20.777 tramite malware e 2.063 attraverso ransomware, secondo l’ultimo report di Trend Micro. L’Italia, lo scorso aprile, risultava al terzo posto a livello globale per attacchi malware, dopo Stati Uniti e Giappone. Ad oggi dunque il comparto meno preparato risulta essere proprio quello sanitario che, tra l’altro, paga il prezzo di gran lunga più caro dal momento che la spesa per i data breach è notevolmente aumentata. È evidente che il comparto sanitario risulta essere quello più bersagliato a causa della quantità e qualità dei dati custoditi e che, ovviamente, hanno un notevole valore economico. Gli attacchi criminali non mirano solo a bloccare i sistemi dietro la richiesta di un riscatto, ma soprattutto a capitalizzare i dati sensibili.” Per una lettura integrale dell’intervista si rimanda al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9716650

Bibliografia

  • LEGGE 31 dicembre 1996, n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali
  • DECRETO LEGISLATIVO 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali
  • REGOLAMENTO (UE) 2016/679 GDPR “Regolamento generale sulla protezione dei dati
  • LEGGE 25 ottobre 2017, n. 163 “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017
  • DECRETO LEGISLATIVO 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati
  • LEGGE 27 dicembre 2019 n. 160 “Bilancio di previsione dello Stato per l’anno finanziario 2020 e bilancio pluriennale per il triennio 2020-2022
  • DECRETO LEGGE 14 giugno 2019, n. 53, “Disposizioni urgenti in materia di ordine e sicurezza pubblica
  • DECRETO MINISTERIALE del 15 marzo 2019 “Inserimento nell’allegato A del decreto legislativo 30 giugno 2003, n. 196, delle regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica
  • PROVVEDIMENTO del 27 maggio 2021 “Procedura telematica per la notifica di violazioni di dati personali (data breach)

Sitografia Garante per la protezione dei dati personali https://www.garanteprivacy.it/home

Norme: Tipo


Cronologia 1859-2022