Dal codice privacy al nuovo regolamento europeo

Il progressivo sviluppo tecnologico ha costretto il legislatore ad adeguarsi alle richieste degli utenti, desiderosi e bisognosi di tenere al sicuro i propri dati personali, disciplinando nel modo più opportuno la complessa materia riguardante la privacy e la protezione dei dati personali. Non che ci fosse un vero e proprio vuoto normativo in materia. Infatti, sin dall’epoca romana era riconosciuto il diritto di escludere gli altri dal godimento di un bene di proprietà; si trattava dello “ius excludendi alios”, la cui ratio era proprio quella di difendere la proprietà privata. Con il passare del tempo, il termine anglosassone “privacy”, che si può banalmente tradurre in “isolamento”, ha cambiato la sua accezione originaria, ampliando sempre più gli ambiti di applicazione. In epoca moderna, i primi a scrivere e parlare di questo diritto sono stati il giudice americano Louis Brandeis e l’avvocato Samuel Warren, che definirono la privacy come “diritto di essere lasciati in pace”. Questo diritto, che ha assunto sempre più importanza, è stato riconosciuto come diritto fondamentale dalla Carta dei Diritti Fondamentali dell’Unione Europea.

L’innovazione culturale e tecnologica, se da un lato ha portato a un’eccezionale interconnessione mondiale, dall’altro ha generato un’incontrollata diffusione dei dati e delle informazioni nella falsa speranza di una fantomatica sicurezza assicurata dagli strumenti tecnologici. Come ricordato da Bruce Schneier, crittografo e saggista statunitense: “If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology”. Infatti, ogni strumento elettronico presenta delle vulnerabilità sistemiche capaci di permettere una violazione della macchina, capace di compromettere dati e informazioni.

Il legislatore italiano si è adattato pian piano alle prescrizioni europee sulla protezione dei dati personali in generale e agli obblighi previsti per quanto riguarda la specifica previsione della notifica di un data breach. Originariamente il Codice privacy del 2003 non conteneva una definizione di violazione dei dati personali, introdotta solo successivamente al recepimento delle direttive europee 2002/58/CE (c.d. Direttiva e-Privacy) e 2009/136/CE, tramite il Decreto legislativo 28 maggio 2012 n. 69, con il quale il Governo ha dato attuazione alla delega prevista nell’art 9 della legge comunitaria del 2010 (legge 15 dicembre 2011, n. 217, pubblicata in G.U. 2 gennaio 2012, n. 1).

Con il suddetto decreto è stata così introdotta la definizione di violazione dei dati personali, che viene intesa come la “violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico” (art. 4, comma 3, lett. g-bis, del Codice).

Un’altra importante modifica al Codice è stata fatta con l’introduzione dell’articolo 32-bis recante “Adempimenti conseguenti ad una violazione di dati personali”. L’obbligo di comunicare senza indebito ritardo la violazione al Garante è stato però inizialmente circoscritto al caso del fornitore di servizi di comunicazione elettronica, e non a tutti i titolari che trattino dati personali. Per quanto riguarda le sanzioni perviste per l’omessa o ritardata comunicazione della violazione di dati personali al Garante, è punita con una sanzione amministrativa da 25.000 a 150.000 euro; e, l’omessa o ritardata comunicazione della violazione al contraente o ad altra persona, è punita con la sanzione amministrativa da 150 a 1.000 euro per ciascun contraente o altra persona interessata.

L’importanza della materia consiste nel fatto che un evento che coinvolga dati personali, se non trattato in modo adeguato e tempestivo, può provocare un grave danno economico e sociale al contraente, tra cui l’usurpazione di identità.

L’evoluzione tecnologica intercorsa dopo tutti questi vari accorgimenti normativi, pensati per rendere alcuni ambiti più sicuri e proteggere i diritti degli interessati, ha reso necessario un ampliamento delle previsioni legislative, vuoi perché inizialmente circoscritta ad alcuni settori, vuoi perché le organizzazioni rimanevano spesso noncuranti dell’obbligo di comunicazione imposto.

Il Garante, per disciplinare la materia in modo più appropriato, ha adottato nel 2013 un provvedimento che fissa gli adempimenti per i casi in cui dovessero verificarsi i c.d. data breach, specificatamente nel campo delle comunicazioni elettroniche. Successivamente, nel 2014, ha emanato un altro provvedimento prescrittivo in tema di biometria, e, nel 2015, altri due riguardanti il Dossier Sanitario elettronico e le misure di sicurezza e modalità di scambio dei dati personali tra Amministrazioni Pubbliche.

Il 25 maggio 2018 diventerà definitivamente vincolante il Regolamento Europeo UE 2016/679 (GDPR, General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Il Regolamento, al pari di altre previsioni normative di futura emanazione o già vincolanti (PSD2, eIDAS, NIS, Circolare 285 di Banca d’Italia…), pongono degli obblighi da seguire in tema di notifica di violazione dei dati. È quindi nel pieno interesse delle aziende prevenire violazioni o incidenti di sicurezza, onde evitare di doversi esporre ad una notifica pubblica che avrebbe importanti ripercussioni anche in termini di reputazione e immagine.

Lo scopo del regolamento è quello di evitare l’insorgenza o l’aggravamento alla perdita di controllo dei dati personali, o semplicemente di una loro limitazione capace di comportare l’usurpazione di identità, perdite finanziarie o pregiudizio alla reputazione e perdita di riservatezza, estendendo la l’obbligo di notifica a tutti i titolari di trattamento dati personali. La determinazione di specifiche tempistiche per la comunicazione dell’evento pregiudizievole, permetterà di ridurre gli effetti negativi derivanti dal fatto, aumentando la resilienza in seguito ad eventi imprevisti.

Come prescritto dagli articoli 33 e 34 del regolamento, non appena il titolare viene a conoscenza dell’avvenuta violazione dei dati personali trattati, deve notificare l’accaduto all’Autorità di controllo competente,

senza ingiustificato ritardo, e se possibile, entro 72 ore. In caso di rischio elevato per i diritti e le libertà della persona, sarà comunicato anche all’interessato, al fine di permettergli di prendere le adeguate precauzioni. L’obbligo non scatta nel caso in cui il Titolare del trattamento sia in grado di dimostrare di aver messo in atto le misure tecniche e organizzative adeguate alla protezione dei dati, ad esempio in modo da rendere i dati personali incomprensibili a chiunque non sia autorizzato (es. cifratura, pseudonimizzazione dei dati).

La notifica dovrà necessariamente contenere:

  • Una descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • Il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • Una descrizione delle probabili conseguenze della violazione dei dati personali;
  • Una descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare possibili effetti negativi.

Le sanzioni in violazione degli obblighi derivanti dalle presenti previsioni comporta sanzioni amministrative pecuniarie fino a 10.000.000,00 EUR o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Per questo servono tecnologie che ci aiutino a prevenire a monte l’evento pregiudizievole che potrebbe causare nocumento all’interessato e all’organizzazione. Ogni struttura dovrà valutare, attraverso un’attenta analisi del rischio che permetta di allocare le risorse nel modo più adeguato possibile, l’adozione di strumenti capaci di identificare, analizzare, proteggere e rispondere alle minacce (Access Control, Data Loss Prevention, Cyber Threat Intelligence, Vulnerability & Risk Management, Continuous Security Monitoring, Data Governance, etc…).

L’affidabilità delle società alle quali affidiamo i nostri dati, e la cura con cui si adopereranno per trattarli in maniera compliance, sarà determinante nella scelta a cui affidarsi. Un corretto sistema di gestione della privacy, unitamente a un’adeguata sicurezza infrastrutturale, garantirà la difesa di questo diritto fondamentale, senza cascare in artifici o raggiri di coloro che millantano protezione e sicurezza senza però adottare le opportune previsioni normative.

“Chi è pronto a dar via le proprie libertà fondamentali per comprarsi briciole di temporanea sicurezza, non merita né la libertà né la sicurezza” Benjamin Franklin.

Michele Gallante

Michele Gallante

Twitter
Visit Us
LinkedIn
Share
YOUTUBE