L’Autorità Garante per la protezione dei dati ha un problema: stanno arrivando centinaia di notifiche per violazioni dei dati personali, ma la maggior parte di queste o non sono violazioni o lo sono, per carità, ma non andrebbero segnalate!
Da maggio 2018 sono arrivate un sacco di richieste anche a noi: gente nel panico più totale che non sa se notificare, se non notificare, se l’evento segnalato è una violazione oppure no…insomma il caos.
Perché sta succedendo?
Fondamentalmente per due ragioni, che hanno un nome ben preciso: eccesso di zelo e ignoranza. Quindi o si segnala per mettere le mani avanti – l’avvocato ha detto che bisogna segnalare perché altrimenti se lo scopre il Garante finisci in galera – oppure segnali perché non sai.
Ma perché dobbiamo far perdere tempo al Garante con delle richieste che non hanno senso?
Teniamo a bada l’ansia da prestazione da Data Breach e usiamo un metodo per capire:
  • se l’incidente segnalato è una violazione oppure no (nel nostro esempio se la perdita della chiavetta USB è una violazione o no)
  • se la violazione va notificata oppure no.

Cos’è una violazione e quando va segnalata

Le violazioni dei dati personali possono essere accidentali – capitano per sbaglio o per errore – o volontarie, e sono:

1. Accesso non autorizzato (spionaggio se la violazione è volontaria) e si verifica se un terzo non autorizzato accede a dei dati personali.
2. Copia non autorizzata (furto se la violazione è volontaria) e si verifica quando un terzo non autorizzato ha copiato i dati dove non doveva.
3. Divulgazione non prevista (diffusione se la violazione è volontaria) e si verifica quando vengono diffusi dati personali che non dovevano essere divulgati.
4. Modifica non autorizzata (compromissione se la violazione è volontaria) e si verifica quando
un terzo modifica dati che non poteva modificare.
5. Perdita d’accesso (cifratura se la violazione è volontaria) e si verifica quando i dati personali vanno persi.
6. Cancellazione dei dati (distruzione volontaria se la violazione è voluta) e si verifica quando viene cancellato il file che conteneva dati personali che erano salvati solo lì.
Le violazioni vanno sempre documentate nel registro; ma quando notificarle?
Il GDPR ci dice che vanno notificate entro 72 ore dal momento in cui se ne viene a conoscenza ma solo se la violazione può mettere a rischio i diritti e le libertà degli interessati (cioè le persone fisiche a cui appartengono i dati personali violati).
A chi notificare? Al Garante e/o agli interessati.
In questo articolo invece vediamo dei casi pratici e cerchiamo di capire se l’evento accaduto è una violazione e se è il caso di notificarla.

È un Data Breach? Esempi e casi pratici

Adesso prendiamo alcuni casi e cerchiamo di capire se sono violazioni oppure no e se vanno notificate oppure no.

Caso della struttura sanitaria che ha un portale dove i pazienti possono scaricare i referti

L’ospedale XYZ ha un contratto con una società esterna che gestisce una piattaforma web. La struttura sanitaria usa la piattaforma per caricare i PDF dei referti, così i pazienti li possono scaricare sul loro computer ed evitare la fila per il ritiro degli esami di persona.
Un giorno Antonio Rossi, paziente dell’ospedale, va sulla piattaforma per scaricare i suoi esami del sangue di routine – emocromo e così via – e si accorge che il documento non è suo ma è l’esame del colesterolo di Peppino Rossi. Scrive una mail alla struttura sanitaria per segnalare che c’è stato un errore e che ha già cancellato il file dal suo computer, poi chiede che gli mandino i suoi esami.
L’incidente è stato causato da un problema tecnico. La probabilità che si verificasse era bassissima. Quindi si è trattato di un caso più unico che raro, ma la sfiga ci vede bene ed è accaduto lo stesso.
Domanda: secondo te quello che è capitato è una violazione?
Risposta: sì, perché un terzo non autorizzato ha visto dati particolari (dati sensibili) di un altro.
Domanda: questa violazione va notificata?

Prima di rispondere, ti racconto cos’è accaduto dopo l’incidente.

Il DPO della struttura sanitaria valuta il caso con il team privacy interno e decidono di notificare al Garante. E sai cosa succede? Il Garante fa partire il procedimento sanzionatorio per una comunicazione di dati particolari a terzi non autorizzati. In pratica, un treno in faccia.
Forse si poteva evitare. È vero che c’è stata una violazione, ma ha riguardato un unico caso, oltretutto per esami di routine – non HIV, tumori e altre malattie gravi – siamo sicuri che questo caso porterebbe a gravi conseguenza sui diritti e le libertà di Peppino? Ecco che valutare con Tools la presunta gravità diventa utilissimo per non farsi prendere né da ansia né da eccessiva faciloneria. Questa violazione poteva molto probabilmente essere riportata solamente nel registro delle violazioni. Poi l’ospedale e il responsabile esterno avrebbero dovuto prendere tutte le precauzioni del caso per evitare che si ripetesse, ma poteva finire lì. Invece l’ospedale, per eccesso di zelo, si è beccato nei denti un procedimento sanzionatorio.

Caso della società per il lavoro e dell’invio a centinaia di persone della posizione giuslavoristica di Antonio

Giulia lavora per una società di somministrazione di lavoro interinale. È l’addetta che invia le mail ai lavoratori. Prima di Natale, scrive una mail a 300 persone in somministrazione ad un’azienda cliente della società, per spiegare come devono gestire il piano ferie. Fa tutto bene – fa attenzione a mettere gli indirizzi in copia e non in chiaro, controlla che la lista per l’invio includa solo le persone interessate – ma invece di prende il file Excel con le indicazioni del piano ferie, per sbaglio allega alla mail il file con tutta la posizione giuslavoristica – dati anagrafici, inquadramento, legge 104, permessi, malattie eccetera eccetera – di Antonio, uno dei lavoratori interinali della lista. E spedisce la mail. Dopo qualche minuto, riceve la segnalazione di Antonio che furioso le chiede spiegazioni.
Domanda: secondo te quello che è capitato è una violazione?
Risposta: sì, perché terzi non autorizzati hanno visto i dati personali di un altro.
Domanda: questa violazione va segnalata?
Risposta: secondo me sì, perché i dati di Antonio che sono stati diffusi sono molti e in molti li hanno visti.
E se invece della posizione giuslavoristica, Giulia avesse inviato la lista con il numero di volte che Antonio ha usato la mensa aziendale? È una violazione da notificare?
No, perché non è una violazione e non c’è un rischio per i diritti e le libertà di Antonio.

Caso dell’azienda di profumi a cui vengono rubati 40 computer

L’azienda di profumi XYZ organizza il family day negli spazi aziendali. Durante l’evento uno dei partecipanti va in una stanza e apre la finestra. Nessuno se ne accorge. Di notte insieme ai suoi complici entra in azienda dalla finestra e ruba 40 computer con l’obiettivo di rivenderli. 30 computer sono formattati perché, allo spegnimento, in automatico si formattano e non contengono nessun dato personale.
Domanda: secondo te quello che è capitato è una violazione? E se sì va segnalata?

Risposta: no e no. I computer erano puliti e protetti e con c’era bisogno di fare alcuna notifica né di registrare nessuna violazione.

Caso del sistema di prenotazione alberghiera che subisce un attacco hacker

L’azienda che fornisce un sistema di prenotazione alberghiera online subisce un attacco. Gli hacker rubano un certo numero di mail e vedono quali utenti hanno prenotazioni in essere.
Antonio è un utente della piattaforma e ha prenotato la settimana bianca a Cortina con la famiglia all’Hotel XYZ. Dopo l’attacco hacker riceve una mail dall’albergo XYZ – una mail normalissima, dalla casella di posta dell’hotel – dove il finto addetto riepiloga i dettagli della sua prenotazione e chiede un acconto del 10%. La mail è falsa, ma sembra autentica.

Se Antonio avesse già mandato l’acconto e fosse uno un po’ sgamato, magari gli si accenderebbe la lampadina. Gli verrebbe il dubbio e chiamerebbe l’Hotel XYZ per sapere se effettivamente la mail l’hanno mandata loro. Ma nella maggior parte dei casi, dato che si tratta di piccoli importi, alle persone non viene questo scrupolo e cadono nella truffa.

Domanda: secondo te quello che è capitato è una violazione?
Risposta: sì, perché terzi non autorizzati hanno visto i dati personali di altri.
Domanda: questa violazione va segnalata?
Risposta: secondo me sì, ma agli interessati, non al Garante e non tanto per un problema legato al GDPR, ma piuttosto per evitare che le persone con prenotazioni in essere subiscano la truffa.

Sei un titolare del trattamento? Usa un metodo oggettivo per identificare le violazioni

Prima di tutto devi avere un’ottima procedura di segnalazione sia esterna (da parte dei responsabili esterni) sia interna (da parte degli addetti). Poi devi spiegare ai responsabili esterni che se ricevono una segnalazione, non devono notificare al Garante. Perché se lo fanno, gli tagli la prima falange del dito, ma devono segnalare a te, titolare del trattamento. Sei tu che poi devi prendere le decisioni.
Poi devi capire se la segnalazione è una violazione.

Sono andati persi, rubati, cancellati eccetera dei dati personali?

Risposta: no. Allora non è una violazione.
Risposta: sì. Bene, allora la documenti nel registro delle violazioni e vai avanti.
Chiediti: La violazione lede i diritti e le libertà delle persone?
Risposta: no. Allora registra quello che hai fatto e che farai per risolvere il problema.
Risposta: sì. Allora devi decidere se notificare o meno e a chi (Garante e interessati).
In ogni caso devi documentare tutto quello che è stato fatto e perché.
Ricordati che se subisci una visita ispettiva non è più come una volta, dove magari si soffermavano solo sugli aspetti formali. Adesso ti chiedono ragione di quello che hai fatto e di dimostrare i ragionamenti che ti hanno portato a prendere le tue decisioni.
Fonte: PrivacyLab – www.privacylab.it
Autore Andrea Chiozzi