In questo ultimo periodo assistiamo a pubblicazione di notizie relative a c.d. “data breaches” subiti anche da grandi aziende o pubbliche amministrazioni, attraverso i quali sarebbero stati carpiti grandi quantità di dati personali degli utenti/cittadini, ma cos’è un data breach?

Il c.d. “data breach”, ossia la “violazione di dati (personali)”, viene definita dall’art. 4 n.12 GDPR (Regolamento generale sulla protezione dei dati, Reg. UE 27 aprile 2016, n.679) come:

 “una violazione di sicurezza che comporta accidentalmente o in modo illecito la DISTRUZIONE, la PERDITA, la MODIFICA, la DIVULGAZIONE non autorizzata, o l’accesso ai dati personali trasmessi, conservati oppure trattati”.

Ma approfondiamo il significato dei termini:

“DISTRUZIONE”, il concetto di distruzione di dati è abbastanza chiaro: i dati non esistono più (vengono cancellati) o non esistono più nella forma in cui venivano utilizzati dal Titolare.

“MODIFICA”, anche questo concetto è abbastanza chiaro: si tratta di dati personali che vengono alterati, corrotti o, in ogni caso, non sono più completi.

“PERDITA”, questo concetto può essere interpretato principalmente in due modi: i dati continuano ad esistere, ma il Titolare vi ha perso il controllo o l’accesso, ovvero il Titolare ne ha perso il possesso (i concetti possono sembrare assimilabili, ma non lo sono).

Il data breach è sempre un “incidente di sicurezza”, ma si applica il GDPR solo allorquando l’incidente riguardi i dati personali. La conseguenza di un “data breach” sui dati personali è che il Titolare non è più in grado di assicurare la compliance al GDPR (art. 5 GDPR) e potrebbe esporre gli utenti/i cittadini a vulnerabilità di vario grado, a seconda della tipologia e della quantità dei dati “attaccati”. Le Linee Guida del WP29 del 3 ottobre 2017, evidenziano in modo semplice e chiaro la differenza tra un incidente di sicurezza ed una violazione di dati personali: “… all personal data breaches are security incidents, not all security incidents are necessarily personal data breaches…”, ossia tutte le violazioni di dati sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono data breaches.  

Ma quante tipologie di “data breach” possono esserci?

Secondo l’opinione 03/2014 del WP 29, ripresa nella linea guida 01/2021 dell’EDPB avente quale oggetto “Expamples regarding Data Breach Notiifcation”, i data breaches si possono classificare come:

1. Incidente di riservatezza: si verifica nell’ipotesi ci sia un non autorizzata o accidentale divulgazione di, o accesso a, dati personali;
2. Incidente di integrità: si verifica una non autorizzata o accidentale alterazione di dati personali;
3. Incidente di disponibilità: si verifica non autorizzata o una accidentale perdita di accesso ai dati o una distruzione degli stessi.

Nelle prossime pubblicazioni approfondiremo singoli casi pratici di data breach e le conseguenze/adempimenti posti in capo ai Titolari del Trattamento, nell’ipotesi in cui subiscano un data breach.