Parere 03/2014 - WP213 - sulla notifica delle violazioni dei dati personali

Il Gruppo di lavoro è stato istituito in virtù dell'articolo 29della direttiva 95/46/CE. » l'organo consultivo indipendente dell'UE per laprotezione dei dati personali e della vita privata. I suoi compiti sono fissatiall'articolo 30 della direttiva 95/46/CE e all'articolo 15 della direttiva2002/58/CE.

Le funzioni di segreàteria sono espletate dalla direzione C(Diritti fondamentali e cittadinanza dell'Unione) della Commissione europea,direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190.

Parere 03/2014 - WP 213

sulla notifica delle violazioni dei dati personali

adottato il 25 marzo 2014

Sintesi

Nelpresente parere il Gruppo di lavoro articolo 29 fornisce orientamenti airesponsabili del trattamento per aiutarli a stabilire se occorra informare gliinteressati nell'eventualità di una "violazione dei dati personali". Purtenendo conto del vigente obbligo dei fornitori di servizi di comunicazioneelettronica ai sensi della direttiva 2002/58/CE, il parere offre esempi trattida molteplici settori, nel contesto della proposta di regolamento sullaprotezione dei dati, e illustra buone pratiche per tutti i responsabili deltrattamento.

Mentrela notifica all'autorità competente deve avvenire, secondo il disposto delladirettiva 2002/58/CE, per tutte le violazioni dei dati, il presente parereesamina le violazioni dei dati personali per le quali è richiesta la notificaagli interessati ed espone ciò che i responsabili del trattamento avrebberopotuto fare nella messa in opera dei loro sistemi per prevenire a monte laviolazione dei dati personali o, quanto meno, quali misure si sarebbero potuteattuare in primo luogo per esentare il responsabile del trattamentodall'obbligo di notifica agli interessati.

Inoltre,il parere fornisce risposte ad alcune delle principali questioni relative alleviolazioni dei dati personali e all'applicazione della direttiva 2002/58/CE.

1. Introduzione

La"violazione dei dati personali" è definita dall'articolo 2, lettera i), delladirettiva 2002/58/CE come una "violazione di sicurezza che comportaaccidentalmente o in modo illecito la distruzione, la perdita, la modifica, larivelazione non autorizzata o l'accesso ai dati personali trasmessi,memorizzati o comunque elaborati nel contesto della fornitura di un servizio dicomunicazione accessibile al pubblico nella Comunità".

Ladirettiva 2002/58/CE (così come la proposta di regolamento europeo sullaprotezione dei dati) stabilisce che le violazioni dei dati personali devonoessere notificate alle autorità nazionali competenti. Le informazioni chedevono essere fornite in tale notifica sono indicate in modo particolareggiatonell'allegato I del regolamento (UE) n. 611/2013.

Quandola violazione dei dati personali rischia di pregiudicare i dati personali o lavita privata della persona interessata¹, il responsabile del trattamento deve comunicare senzaindebito ritardo l'avvenuta violazione anche a tale persona².

Ladirettiva 2002/58/CE, al pari del regolamento (UE) n. 611/2013, prevedeun'esenzione dall'obbligo di notifica alle persone interessate nel caso in cuii dati siano stati resi incomprensibili. Se il fornitore ha dimostrato in modoconvincente all'autorità competente di aver utilizzato le opportune misuretecnologiche di protezione per rendere i dati incomprensibili a chiunque nonsia autorizzato ad accedervi³ e che tali misure erano state applicate ai dati interessatidalla violazione della sicurezza, non è richiesta la notifica di una violazionedei dati personali alla persona interessata⁴.

Ilmotivo alla base di tale esenzione dall'obbligo di notifica agli interessati èche misure adeguate possono ridurre a livelli trascurabili i rischi residui perla vita privata. Una violazione della riservatezza di dati personalicrittografati con un algoritmo all'avanguardia costituisce in ogni caso unaviolazione dei dati personali e deve essere comunicata all'autorità. Se però lariservatezza della chiave rimane intatta, in linea di principio i datirisultano incomprensibili a chiunque non sia autorizzato ad accedervi, così chela violazione non rischia di ledere la persona interessata e, pertanto, nondeve esserle comunicata.

Tuttavia,anche se i dati sono crittografati, una perdita o alterazione può avere effettinegativi per gli interessati ove il responsabile del trattamento non dispongadelle necessarie copie di riserva. In tal caso, la notifica agli interessatidovrebbe essere necessaria anche se sono state adottate misure di protezionemediante crittografia.

Pertanto, è importante che i responsabili del trattamentosiano proattivi e procedano a un'adeguata pianificazione. L'articolo 17 delladirettiva 95/46/CE e l'articolo 4, paragrafi 1 e 1 bis, della direttiva2002/58/CE prevedono che i responsabili del trattamento debbano attuare misuretecniche ed organizzative appropriate per "garantire [ä] un livello disicurezza appropriato rispetto ai rischi" presentati dal trattamento. A talescopo occorre predisporre un idoneo quadro di gestione dei rischi, chedefinisca gli elementi minimi che un tale approccio dovrebbe comprendere e checontempli una serie di opportuni controlli tecnici ed organizzativi minimi, chepossono essere stabiliti dal responsabile del trattamento, con particolareattenzione ai controlli per rendere incomprensibili i dati, ove necessario. Leimprese dovrebbero inoltre istituire preventivamente piani appropriati per iltrattamento delle violazioni dei dati personali, idonei a garantire che essereagiscano a siffatte violazioni in modo rapido ed efficace.

Quandol'articolo 17 è attuato correttamente, vale a dire prima di dare inizio altrattamento dei dati, i rischi connessi a una violazione dei dati personalisono stati valutati e ridotti in via preventiva. In tal caso, le violazioni deidati personali dovrebbero verificarsi più raramente e avere minoriripercussioni sulle persone interessate. Poiché la notifica agli interessatinon è richiesta quando la violazione non pregiudica i dati personali o la vitaprivata di tali persone o quando sono state applicate opportune misuretecnologiche di protezione ai dati interessati dalla violazione, il modomigliore per evitare di dover informare le persone interessate consistenell'integrare appropriati meccanismi di tutela della vita privata nei progettiimplicanti il trattamento di dati personali.

Lanotifica alle persone interessate deve essere effettuata senza indebito ritardo⁵ ed è indipendente dalla notifica della violazione dei datipersonali all'autorità nazionale competente. Il responsabile del trattamentodovrebbe tenere presente che, pur non costituendo un criterio per stabilire seoccorra o meno informare le persone interessate, uno dei principali vantaggidella notifica consiste nel fornire a tali persone le informazioni necessarieper ridurre gli effetti negativi derivanti dalle circostanze della violazione.Qualora il responsabile del trattamento non sappia se possano verificarsieffetti negativi sui dati personali o sulla vita privata degli interessati,dovrebbe procedere alla notifica in via precauzionale. Occorre inoltre tenereconto della possibilità che le autorità competenti richiedano la comunicazioneagli interessati in seguito a una successiva valutazione della notifica.

Ilpresente parere contiene un elenco nonesaustivo di casi in cui occorre procedere alla notifica alle persone interessate⁶. Ogni violazione deidati personali viene esaminata alla luce dei tre criteri classici in materia disicurezza: l'espressione "violazione della disponibilità" si riferisce alladistruzione accidentale o illecita o alla perdita di dati personali, "violazionedell'integrità" all'alterazione di dati personali e "violazione dellariservatezza" alla divulgazione o all'accesso non autorizzati a dati personali.Il parere fornisce poi orientamentigenerali sui casi che non richiedono la notifica. Infine, tratta i principali problemi che iresponsabili del trattamento possono incontrare al momento di stabilire seoccorra o meno informare gli interessati.

2. Violazioni che rischiano di recare pregiudizio agliinteressati

Leviolazioni devono essere notificate senza indebito ritardo alle personeinteressate qualora rischino di pregiudicarne i dati personali o la vitaprivata. Questa sezione contiene alcuni esempi di violazioni che rispondono atali criteri. Fornisce inoltre esempi di misure tecniche che, se fossero stateadottate prima dell'incidente, avrebbero potuto evitare la notifica agliinteressati.

Caso 1. In un istituto di cura per l'infanzia sono stati rubatiquattro computer portatili contenenti dati sensibili sullo stato di salute esulla protezione sociale e altri dati personali di 2.050 minori.

Taleviolazione dei dati personali riguarda sia la riservatezza sia (nel caso in cuiil responsabile del trattamento non abbia predisposto una copia di riserva) ladisponibilità e l'integrità dei dati.

Possibiliconseguenze ed effetti negativi della violazione della riservatezza:

ÿ Il primo impatto è una violazione del segreto medico: la basedati contiene informazioni mediche riservate sui minori alle quali potrebberoaccedere soggetti non autorizzati.

ÿ La pubblicazione di tali dati potrebbe avere un impattosull'ambiente scolastico e/o familiare dei minori (ad esempio informazioni suabusi, patologie di lunga durata, problemi psichici, difficoltà sociali oeconomiche della famiglia, ecc.).

ÿ La violazione potrebbe avere ripercussioni emotive sui minorie sui loro genitori.

ÿ I dati potrebbero essere utilizzati per ricattare i genitorie i minori stessi (a seconda della loro età).

ÿ I genitori di minori gravemente malati potrebbero esserepresi di mira da soggetti intenzionati a sfruttarne la posizione di debolezza(ad es. ciarlatani, sette, ecc.).

Possibiliconseguenze ed effetti negativi della violazione della disponibilità:

ÿ Potrebbe interferire con la continuità delle terapiesomministrate ai minori determinando l'aggravarsi delle patologie o ricadute.

ÿ Potrebbe provocare intossicazioni accidentali dovute adallergie ai farmaci o a farmaci confliggenti, con conseguenti problemi disalute o decessi.

ÿ Potrebbe comportare indebiti ritardi nei rimborsi onell'erogazione di prestazioni di assistenza finanziaria alle personeinteressate, con conseguenti ripercussioni economiche sulle famiglie coinvolte.

Possibiliconseguenze ed effetti negativi della violazione dell'integrità:

ÿ La perdita dei dati potrebbe compromettere l'integrità dellecartelle cliniche e provocare l'interruzione delle terapie somministrate aiminori. Ad esempio, qualora fossero disponibili solo vecchie copie di riservadi tali cartelle, tutte le modifiche inserite sui computer rubati andrebberoperdute, con conseguente pregiudizio all'integrità dei dati. L'utilizzo dicartelle cliniche non aggiornate potrebbe pregiudicare la continuitàterapeutica determinando l'aggravarsi delle patologie o ricadute.

Aseconda dei possibili effetti, in questo caso si dovrebbe procedere allanotifica, ma è importante anche tenere conto dell'età e del grado di maturitàdegli interessati. Nella fattispecie potrebbe essere più appropriato informare,oltre che il minore stesso, un genitore o tutore legale che si occupi giàattivamente della sua assistenza medica, ove ciò risulti opportuno o siaprescritto dalla legge applicabile.

Intal modo, i genitori destinatari della notifica potranno segnalare anomalienella continuità terapeutica, verificare le allergie note all'istituto di curao chiedere nuovi esami medici per assicurarsi che i figli ricevano le cureadatte. Potrebbero anche scegliere di informare direttamente altre persone inmerito alle condizioni di salute dei minori al fine di arginare alcuni degliimpatti sul loro ambiente.

Esempidi misure di salvaguardia appropriate che avrebbero potuto ridurre i rischi, seattuate preventivamente:

ÿ Predisponendo una copia di riserva sufficientementeaggiornata si sarebbe potuta evitare la violazione della disponibilità edell'integrità, o mitigarne le conseguenze e gli effetti negativi.

ÿ Proteggendo i dati con un idoneo prodotto di crittografiadotato di una chiave sufficientemente forte e segreta sarebbe stato possibileattenuare eventuali conseguenze ed effetti negativi della violazione dellariservatezza.

Setali misure di salvaguardia sono state attuate e sono rimaste sicure (ossia lachiave è rimasta segreta e la copia di riserva è ancora disponibile), in lineadi principio la notifica agli interessati potrebbe non essere necessaria. Talecircostanza andrebbe dimostrata in modo persuasivo all'autorità competente.

Caso 2. I dati personali relativi ai clienti di un mediatore diassicurazione del ramo vita sono stati oggetto di un accesso indebitoeffettuato sfruttando le vulnerabilità di un'applicazione web. Gli interessati sono stati identificati attraverso nomee indirizzo e i dati comprendevano questionari medici compilati. La violazioneha riguardato 700 persone interessate.

Possibiliconseguenze ed effetti negativi della violazione della riservatezza:

ÿ La pubblicazione dei dati su Internet da parte dell'autoredell'attacco potrebbe pregiudicare le possibilità degli interessati di trovarelavoro (ad es. risposte relative a problemi di salute, gravidanza, ecc.).

ÿ Potrebbe avere un impatto sull'ambiente di lavoro e/ofamiliare degli interessati.

ÿ Potrebbe avere anche un impatto emotivo sugli interessati chetengano celata la loro patologia.

ÿ Potrebbe condurre a usurpazioni di identità.

ÿ I dati (ad esempio il fatto di essere cliente o di acquistaredeterminati servizi) potrebbero essere utilizzati a scopo di "phishing".

Dalmomento che tale violazione rischia di ledere gli interessati, deve essere loronotificata.

Esempidi misure di salvaguardia appropriate che avrebbero potuto ridurre i rischi, seattuate preventivamente:

ÿ Un monitoraggio costante dei possibili punti deboli delletecnologie utilizzate che comprendesse, tra l'altro, un controllo periodicodella vulnerabilità del sito web e l'aggiornamento del software (compreso ilsoftware di sicurezza) avrebbe potuto prevenire la violazione o limitarnel'impatto.

Sebbenenon sia facile evitare le vulnerabilità di sicurezza "zero-day", politicheadeguate ed efficaci volte a prevenire in modo proattivo lo sfruttamento ditali vulnerabilità, anche mediante la revisione dei codici, possono ridurre ilmargine di rischio a livelli accettabili. Inoltre, una buona politica digestione degli incidenti di sicurezza potrebbe mitigare le conseguenze dellaviolazione limitando la durata e la portata dei suoi effetti negativi.

ÿ Come nel caso precedente, le possibili conseguenze e ipossibili effetti negativi della violazione della riservatezza avrebbero potutoessere attenuati proteggendo i dati dei clienti con un idoneo prodotto per lacrittografia dotato di una chiave sufficientemente forte e segreta. Tale misurapotrebbe garantire una tutela particolarmente efficace contro il furto deldisco o circostanze analoghe.

ÿ Infine, la compagnia di assicurazioni avrebbe potutoutilizzare varie tecnologie per il rafforzamento della tutela della vitaprivata al fine di ridurre al minimo i dati e/o l'identificabilità dellepersone interessate. Ad esempio, avrebbe potuto inviare per posta ai clienti unnumero di identificazione casuale ai fini della compilazione del questionariomedico online. In tal modo si sarebbe evitato di inserire in detto questionariodomande relative a nome, indirizzo, data di nascita o numero di telefono.

Caso 3. Un dipendente di un fornitore di servizi Internet ha rivelatoad un terzo il login e la password di un account con privilegi di accessocompleto alla base dati dei clienti. Utilizzando tale account, il terzo puòaccedere a tutte le informazioni relative ai clienti, senza alcuna restrizione.La base dati contiene nomi, indirizzi, indirizzi di posta elettronica, numeridi telefono, dati di accesso e altri dati di identificazione (nome utente, hashdelle password, ID dei clienti) nonché dati di pagamento (numero di contocorrente, dati della carta di credito, ecc.). Sebbene questi ultimi siano staticifrati con un algoritmo all'avanguardia, l'account master compromesso è statoautorizzato ad accedervi, così che anche il terzo ha avuto accesso a tali dati.La società ha oltre 100.000 clienti.

Possibiliconseguenze ed effetti negativi della violazione della riservatezza:

ÿ L'utilizzo abusivo dei dati di pagamento (in particolare deidati delle carte di credito) avrebbe un impatto finanziario sui clienti.

ÿ Poiché le password sono state codificate con un semplicehash, il terzo potrebbe facilmente ricavarne il corrispondente testo in chiaro.Sarebbe possibile accedere all'account di qualsiasi cliente anche dopo lachiusura dell'account violato.

ÿ Il terzo potrebbe facilmente utilizzare la posta elettronicae le password degli interessati per accedere ad account di altri servizionline, dal momento che molte persone utilizzano la medesima password per unapluralità di servizi online diversi.

Possibiliconseguenze ed effetti negativi della violazione dell'integrità:

ÿ Il terzo haavuto pieno accesso alla base dati e potrebbe avere modificato, cancellato oaggiunto alcuni dati degli account.

∑Se il servizio ISP comprendeva posta elettronica o web hosting, il terzo potrebbeavere acceduto, modificato o cancellato tale contenuto, modificato leimpostazioni DNS o chiuso l'account dell'interessato.

Sebbenei dati finanziari fossero cifrati, il terzo ha avuto accesso ai dati decifratiattraverso l'interfaccia utente e pertanto non si applica l'esenzionedall'obbligo di notifica.

Sei file di log protetti sono affidabili (ossia non compromessi) e indicano chel'account non ha acceduto all'anagrafica clienti, la notifica agli interessatinon dovrebbe essere obbligatoria.

Incaso contrario, dal momento che potrebbero verificarsi effetti negativi sugliinteressati e l'esenzione non è applicabile, la violazione andrebbe notificataai clienti coinvolti.

Sele password sono state compromesse, il responsabile del trattamento dovrebbeprovvedere affinché gli interessati siano obbligati a creare nuove password,accertandosi che tutte le nuove password vengano immesse da utenti autorizzatie non da terzi che abbiano ottenuto le credenziali di accesso. All'attopratico, ciò potrebbe corrispondere alla procedura sicura per il rinnovo dellepassword perdute e andrebbero esplicitati i motivi per i quali le passwordvengono rinnovate. La notifica agli utenti dovrebbe contenere anche laraccomandazione di non usare più la password precedente né una simile e dimodificare le password compromesse in tutti gli account per i quali sono stateutilizzate.

Esempidi misure di salvaguardia appropriate che avrebbero potuto ridurre i rischi, seattuate preventivamente:

ÿ A ciascun utentedevono essere attribuiti i propri account e l'accesso ai dati personalidovrebbe essere autorizzato esclusivamente applicando principi di necessità disapere e di privilegio minimo. Ciò vale anche per i venditori, gli incaricatidella manutenzione e altri soggetti che abbiano necessità di accederetemporaneamente alla base dati: i terzi dovrebbero essere autorizzati adaccedere solo alla funzionalità e ai dati di cui hanno bisogno per espletare icompiti loro assegnati, per un periodo di tempo non superiore a quellostrettamente necessario. Andrebbe limitato l'utilizzo di account con "accessocompleto" alla base dati e si dovrebbero mettere in atto sistemi per tracciaree limitare l'utilizzo di questo tipo di account. Attuando tali misure disalvaguardia si sarebbe potuta prevenire la violazione o attenuarne l'impatto.

ÿ Se le password fossero state memorizzate in modo sicuro (adesempio con un salt e utilizzando una funzione crittografica di hash), sisarebbero notevolmente ridotti gli effetti negativi secondari sugliinteressati. Tuttavia, gli utenti che avessero scelto password debolipotrebbero ancora essere a rischio, in particolare qualora utilizzino lemedesime credenziali di accesso per altri servizi online. Tale rischio avrebbepotuto essere attenuato suggerendo a detti utenti di scegliere password piùforti.

Caso 4. Una busta contenente ricevute di pagamento con carta dicredito è stata gettata per errore in un cestino gettacarte anziché esseredistrutta in modo sicuro. Il cestino è stato svuotato in un bidone lasciatoall'esterno del negozio ai fini della raccolta dei rifiuti. Un terzo haprelevato la busta da quest'ultimo bidone e ha sparso le ricevute in unquartiere limitrofo. I dati comprendevano i dettagli completi delle carte dicredito⁷ e inomi dei titolari. In alcuni casi erano visibili anche le firme dei titolari.Le persone interessate sono 800.

Possibili conseguenze ed effettinegativi della violazione della riservatezza:

ÿ La violazione potrebbe avere un impatto finanziario sugliinteressati qualora i dati delle loro carte fossero ancora validi e venisseroutilizzati abusivamente⁸.

Poichéla violazione rischia di ledere gli interessati, deve essere loro notificata.Nella fattispecie, se non sono stati tenuti altri registri, potrebbe risultaredifficile informare individualmente tutti gli interessati, poiché potrebbe nonessere noto esattamente quali ricevute fossero contenute nella busta. Ilnegozio dovrebbe avvisare i gestori delle carte di credito, di modo che possanomonitorare eventuali transazioni fraudolente. Un altro orientamento praticoproposto nel regolamento (UE) n. 611/2013⁹ prevede che ilfornitore, qualora, "malgrado i ragionevoli sforzi profusi, non sia in grado diindividuare entro il termine di cui [all'articolo 3,] paragrafo 3[,] tutte lepersone che potrebbero essere lese dalla violazione di dati personali, puòinformare tali persone entro lo stesso termine attraverso annunci pubblicitarinei principali mezzi di comunicazione nazionali o regionali negli Stati membriinteressati". Pertanto, nel caso in cui il negozio abbia una clientelaprevalentemente locale, potrebbe essere sufficiente la notifica attraverso unquotidiano regionale. Inoltre, informando le società delle carte di creditodella violazione si potrebbe contribuire alla tutela dei loro clienti.

Sela busta fosse stata recuperata dal responsabile del trattamento da uno deicontenitori dei rifiuti, o comunque non venisse aperta, difficilmentel'imprevisto potrebbe ledere i titolari delle carte; pertanto, non occorrerebbenotificare la violazione agli interessati.

Esempidi misure di salvaguardia appropriate che avrebbero potuto ridurre i rischi, seattuate preventivamente:

ÿ Informando i dipendenti delle possibili conseguenze disiffatte violazioni e utilizzando un idoneo distruggidocumenti¹⁰ o un servizio didistruzione degli archivi per distruggere le ricevute dei pagamenti effettuaticon carte di credito (e analoghi documenti cartacei contenenti dati personali)prima di buttarle nei rifiuti, si ridurrebbe notevolmente il rischio diviolazioni di questo tipo.

ÿ Utilizzare terminali POS che non stampino i dati completidelle carte di credito.

Caso 5. Il computer portatile cifrato di un consulente finanziario èstato rubato dal bagagliaio di un'autovettura. La violazione riguarda tutti idati delle analisi finanziarie – ad es. mutui, stipendi, richieste difinanziamento – relative a 1 000 interessati. La passphrase utilizzatacome chiave di crittografia non è stata compromessa, ma non sono disponibilicopie di riserva.

Possibiliconseguenze ed effetti negativi della violazione della riservatezza:

ÿ A seconda della natura esatta dei dati violati, il loroutilizzo abusivo potrebbe avere vari impatti sugli interessati. Tuttavia,poiché l'intero disco del computer era stato sottoposto a crittografia(all'avanguardia) con una passphrase forte che non è stata compromessa, non sisono verificate divulgazioni non autorizzate.

Possibiliconseguenze ed effetti negativi:

ÿ L'indisponibilitàdei dati implica che gli interessati debbano fornire nuovamente le informazioninecessarie. Ciò comporta un effetto negativo modesto che si sostanzia indispendi di tempo e disagi.

ÿ In alcuni casi potrebbe anche causare la mancatapresentazione di un documento o l'inosservanza del termine fissato a talescopo, il che potrebbe avere diversi impatti secondari sugli interessati, aseconda del contesto: sanzioni pecuniarie, perdita di reddito o di profittiprevisti, perdita di opportunità, risoluzione di contratti di compravendita,ecc.

Poichéle informazioni sono andate perdute e gli effetti della violazione delladisponibilità non sono stati attenuati, la violazione dei dati personalirischia di ledere gli interessati. Pertanto, deve essere loro notificata. Contale comunicazione, oltre a segnalare la necessità di fornire nuovamente i datial consulente finanziario, si informeranno gli interessati in merito alleconseguenze e agli effetti negativi che potrebbero derivare dalla violazione.

Esempiodi misura di salvaguardia appropriata che avrebbe potuto ridurre i rischi, seattuata preventivamente:

ÿ Una soluzione di backup sicura ed efficace avrebbe consentitodi recuperare i dati. Se fosse stata disponibile una copia di riservaaggiornata dei dati, non si sarebbe verificata alcuna violazione delladisponibilità e la notifica non sarebbe stata necessaria.

Caso 6. Il gestore di una rete di telefonia mobile fornisce unservizio di account online, al quale gli abbonati possono accedere pervisionare fatture e attività dell'account recenti. » stato rilevato un accessoillecito alla base dati in cui sono conservate le password di un sito web. Ilterzo ha acceduto ai dati di autenticazione degli utenti (nomi utente epassword codificati con un hash MD5 senza salt).

Possibili conseguenze ed effetti negativi della violazionedella riservatezza:

ÿ Disponendo deinomi utente, il terzo potrebbe ricavarne le password e quindi accedereall'account di qualsiasi cliente.

ÿ Poiché molte persone utilizzano la medesima combinazione dinome utente e password per una molteplicità di account online, il terzopotrebbe accedere ad altri account degli interessati, compresi, in alcuni casi,quelli di posta elettronica.

Dalmomento che le password erano state codificate con un semplice hash, nonpossono essere considerate incomprensibili ai sensi dell'articolo 4, paragrafo2, del regolamento (UE) n. 611/2013¹¹della Commissione.Pertanto, non si applica l'esenzione dall'obbligo di notifica agli interessati.

Attesoche tale violazione rischia di ledere gli interessati e l'esenzione non èapplicabile, si dovrebbero informare i clienti coinvolti raccomandandochiaramente agli utenti di modificare le loro password in tutti gli account checondividono la medesima password compromessa. In ogni caso, tutti gli utentidovrebbero essere obbligati a modificare la loro password – utilizzandoun metodo sicuro - nel momento in cui tentano di accedere al servizio.

Esempiodi misura di salvaguardia appropriata che avrebbe potuto ridurre i rischi, seattuata preventivamente:

ÿ Se le password fossero state memorizzate in modo sicuro(ossia codificate mediante hash crittografici e salt con una funzione di hashall'avanguardia e una chiave o salt), si sarebbero fortemente ridotti glieffetti negativi sugli interessati. Tuttavia, gli utenti che avessero sceltopassword deboli potrebbero essere ancora a rischio, specialmente qualorautilizzassero le medesime credenziali di accesso per altri servizi online.

Caso 7. Un fornitore di servizi Internet mette a disposizione unservizio attraverso il quale gli abbonati possono visionare i dettagli dei loroaccount, la cronologia di navigazione in Internet comprensiva di banda mensilee i siti visitati frequentemente. Un errore di codifica nel sito web provoca lamancata convalida delle credenziali di accesso dell'utente e rende i datiaccessibili attraverso una modifica del valore ID dell'abbonato indicato neiparametri URL. » possibile accedere ai dati degli account di tutti i clientiscorrendo ciclicamente gli ID consecutivi degli abbonati.

Possibili conseguenze ed effetti negativi della violazionedella riservatezza:

ÿ I datipotrebbero essere utilizzati a fini di "spamming" nei confronti degliinteressati tramite messaggi di posta elettronica o chiamate telefoniche.

ÿ I dati potrebbero delineare un profilo dell'abbonato, erivelano dettagli del suo comportamento dai quali potrebbero emergereinformazioni sensibili. Ciò potrebbe avere un impatto sull'ambiente lavorativoe/o familiare degli interessati.

Taleviolazione rischia di ledere gli interessati e pertanto deve essere notificataai clienti.

Esempiodi misura di salvaguardia appropriata che avrebbe potuto ridurre i rischi, seattuata preventivamente:

ÿ Il monitoraggio delle possibili vulnerabilità delletecnologie impiegate, come illustrato nel caso 2, lo svolgimento di test su unapiattaforma preproduzione prima della messa in funzione nonché la revisione deicodici avrebbero potuto scongiurare la violazione.

3.Possibiliscenari nei quali non è richiesta la notifica agli interessati

Sebbenele conseguenze di una violazione dei dati personali debbano essere valutatecaso per caso, al fine di prendere in debita considerazione tutti gli elementirilevanti nella valutazione delle presumibili ripercussioni negative sugliinteressati, il responsabile del trattamento può tenere conto, come criteriogenerale e in aggiunta alle ipotesi di esenzione descritte nella sezioneprecedente, anche del fatto che la notifica agli interessati non è richiesta intaluni casi specifici.

Fratali casi possono rientrare:

∑La violazione dei dati personali riguardante unicamente la riservatezza, se idati sono stati crittografati in modo sicuro con un algoritmo all'avanguardia,la chiave utilizzata per decifrare i dati non è stata compromessa nell'ambitodi una violazione della sicurezza ed è stata generata in modo tale da non poteressere individuata con i mezzi tecnologici disponibili da qualcuno che non siaautorizzato ad accedervi. Infatti, tali misure rendono i dati incomprensibili achiunque non sia autorizzato all'accesso.

∑I dati, quali le password, sono stati codificati in modo sicuro con un hash eun salt. Il valore hash è stato calcolato mediante una funzione di hash conchiave crittografica all'avanguardia, la chiave utilizzata per l'hashing deidati non è stata compromessa nell'ambito di una violazione della sicurezza ed èstata generata in modo tale da non poter essere individuata con i mezzitecnologici disponibili da qualcuno che non sia autorizzato ad accedervi.

4.Domande e risposte

In quali casi non è obbligatorio informare gliinteressati?

∑Quando la violazione della sicurezza non costituisce una violazione dei datipersonali (v. domanda seguente).

∑ Quando è stato dimostrato in modo convincente all'autoritàcompetente che, secondo i risultati di una valutazione della gravità, laviolazione non rischia di pregiudicare i dati personali o la vita privata degliinteressati.

∑ Quando il fornitore ha dimostrato in modo convincenteall'autorità competente di avere utilizzato le opportune misure tecnologiche diprotezione e che tali misure erano state applicate ai dati interessati dallaviolazione della sicurezza. Ad esempio, nel caso in cui la violazione (dellasola riservatezza) dei dati personali riguardi unicamente dati cifrati con unalgoritmo all'avanguardia oppure dati codificati con un salt o un hash conchiave generato mediante una funzione hash all'avanguardia, e tali chiavisegrete o salt non siano stati compromessi.

∑La notifica delle violazioni dei dati descritte nel presente parere costituisceuna buona pratica per tutti i responsabili del trattamento, anche nel caso incui la notifica non sia obbligatoria.

In quali circostanze una violazione della sicurezzadiventa una violazione dei dati personali?

Unaviolazione della sicurezza costituisce una violazione dei dati personali quandoi dati violati sono dati personali, quali definiti dall'articolo 2, lettera a),della direttiva 95/46/CE, secondo cui si intende per "dati personali":qualsiasi informazione concernente una persona fisica identificata oidentificabile ("persona interessata"); si considera identificabile la personache può essere identificata, direttamente o indirettamente, in particolaremediante riferimento ad un numero di identificazione o ad uno o più elementispecifici caratteristici della sua identità fisica, fisiologica, psichica,economica, culturale o sociale".

Ilparere 4/2007 precisa che tale violazione riguarda i dati relativi ad unapersona: "una persona può essere identificata direttamente attraverso il nome oindirettamente attraverso il numero di telefono, il numero identificativo dellaautomobile, il numero di sicurezza sociale, del passaporto o una combinazionedi criteri significativi che ne consentano il riconoscimento all'interno delgruppo al quale appartiene (età, occupazione, luogo di residenza, ecc.)". Ilparere 4/2007 fornisce ulteriori orientamenti al riguardo.

Si devono prendere in considerazione i probabilieffetti secondari?

Sì,le violazioni dei dati devono essere notificate agli interessati se laviolazione rischia di pregiudicarne i dati personali o la vita privata.

Pertanto,occorre prendere in considerazione tutte le possibili conseguenze e ipotenziali effetti negativi sugli interessati.

Esempio 1: Il sito web di una società di intrattenimento musicale èstato violato e la base dati degli utenti è stata rubata e pubblicata in rete.I dati personali trafugati comprendono nomi e cognomi, preferenze musicali,nonché nomi utente e password degli utenti registrati sul sito della società.Gli utenti interessati sono 9.000.

Intali circostanze, nella maggior parte dei casi l'effetto negativo direttopotrebbe apparire molto limitato (trattandosi di una fuga di informazionirelative a preferenze musicali) e ci si potrebbe quindi domandare se sianecessario informare gli interessati. Tuttavia, dal momento che le passwordsono state compromesse, dovranno essere rinnovate dal responsabile deltrattamento. Nel corso di tale operazione occorrerà informare gli utenti deimotivi per i quali si procede al rinnovo delle password. Inoltre, poiché moltiutenti utilizzano la medesima password per account diversi¹², laviolazione comporta presumibilmente, come effetto negativo secondario, unaviolazione della riservatezza in relazione ad altri account. Gli interessatipotranno ridurre al minimo tali effetti secondari modificando le propriepassword di tutti gli altri account. Pertanto, la notifica dovrebbe anchecontenere le informazioni relative ai possibili effetti negativi su altriaccount e, conseguentemente, la raccomandazione di utilizzare password diversesui vari siti web e di rinnovare le password di tutti gli account per i qualivenivano utilizzate le password compromesse.

Esempio 2: Un secondo esempio potrebbe essere quello dello smarrimentodi un CD spedito ad un avvocato tramite raccomandata e contenente elementi diprova da utilizzare nell'ambito di un procedimento penale.

Laviolazione diretta riguarda la disponibilità. L'impatto sull'interessato (osugli interessati) potrebbe essere trascurabile o molto grave, a seconda che sipossano o meno adottare tempestivamente le misure necessarie.

Tuttavia,potrebbero verificarsi effetti negativi secondari qualora il CD non fosseadeguatamente protetto e si verificasse un accesso ai dati. Infatti, i terziche venissero in possesso del CD potrebbero leggerlo, venderlo a giornalisti,ecc. Tale effetto secondario potrebbe avere un impatto molto gravesull'interessato (o sugli interessati).

Nellafattispecie, se il CD potesse essere inviato nuovamente in tempo utile,l'impatto diretto sull'interessato (o sugli interessati) sarebbe trascurabile ela notifica non sarebbe richiesta, mentre la potenziale violazione secondariapotrebbe avere conseguenze molti gravi e andrebbe certamente notificata.

Se la persona interessata è una sola, la violazionedeve esserle notificata?

Sì,la direttiva 2002/58/CE non subordina la notifica di una violazione dei datipersonali all'esistenza di un numero minimo di interessati. L'articolo 3,paragrafo 1, del regolamento (UE) n. 611/2013 prevede che "quando laviolazione di dati personali rischia di pregiudicare i dati personali o la vitaprivata di un abbonato o di altra persona, in aggiunta alla notifica di cuiall'articolo 2 il fornitore comunica l'avvenuta violazione anche all'abbonato oall'altra persona".

Pertanto,il responsabile del trattamento deve procedere alla notifica ove la stessarisulti necessaria alla luce dei possibili effetti negativi, indipendentementedal numero degli interessati.

Come si devono trattare i dati che potrebbero esserepubblici?

Duepunti meritano di essere presi in considerazione.

1.Il termine "pubblico" può implicare livelli diversi di disponibilità: i datipossono essere liberamente accessibili su Internet, pubblicamente disponibilinell'ambito di un servizio in abbonamento, pubblicamente disponibili offline surichiesta, ecc.

Ad esempio, in Francia, in occasione delle elezioni, le listeelettorali vengono affisse ai muri del palazzo comunale e qualsiasi elettore opartito politico può ottenerne copia, ma la legge non ne consente lapubblicazione online.

Pertanto,l'invio accidentale della versione elettronica delle liste a un elettore nonautorizzato a riceverle o lo smarrimento di una versione cartacea della stessanon costituirebbe una violazione della riservatezza, a differenza dellapubblicazione delle liste su Internet, che andrebbe notificata.

2.Alcuni dati possono essere pubblici per alcune persone interessate, ma non peraltre.

Adesempio, una lista di numeri telefonici collegati a un cognome può conteneresia numeri accessibili al pubblico attraverso gli elenchi telefonici, sia numeririservati.

Insintesi, se la violazione comporta una modifica del grado di disponibilità o dipubblicità dei dati, va considerata come una violazione della riservatezza edeve essere notificata (sempre che la violazione rischi di ledere gliinteressati).

Come si possono informare gli interessati quando idati di contatto sono insufficienti o ignoti?

Visono casi in cui il fornitore, pur essendo legato all'utilizzatore finale da unrapporto contrattuale diretto, non dispone di dati sufficienti per garantireun'adeguata informazione. In tali circostanze, sebbene la notifica possa essereeffettuata attraverso annunci sui mezzi di comunicazione, rimane comunquel'obbligo di compiere ogni ragionevole sforzo per informare gli interessatiindividualmente¹³.

Sebbeneil fornitore debba assolvere l'obbligo di compiere ogni ragionevole sforzomettendo in atto qualsiasi ragionevole meccanismo idoneo a garantire che tuttigli interessati siano informati della violazione, ciò non esclude tuttavia cheesso possa chiedere l'assistenza di altri fornitori o responsabili deltrattamento che detengano i dati di contatto. Pertanto, considerando il caso 4,il responsabile del trattamento che non disponga dei dati necessari perinformare i titolari delle carte interessati potrebbe rivolgersiall'intermediario del pagamento, il quale potrebbe facilmente contattarli. Inaltri casi potrebbe essere necessaria la collaborazione delle autoritàcompetenti, le quali andrebbero informate, in ogni caso, del fatto che ilfornitore non è in grado di garantire notifiche individuali.

» necessario informare gli interessati che non sonostati lesi dalla violazione?

No,sempreché tali persone possano essere individuate in modo attendibile. Adesempio, qualora si possa dimostrare che gli interessati appartenenti a unadeterminata sottocategoria non sono stati lesi dall'incidente di sicurezza,potrebbe non essere necessario informarli. Tuttavia, ai fini della decisione,il responsabile del trattamento deve tenere conto di tutti i possibilieffetti negativi. A seconda della natura della violazione, anche la mancatanotifica può provocare disagi agli interessati.

NOTE

1Nel presente parere utilizziamo l'espressione "personainteressata" (o "interessato") quale definita dalla direttiva 95/46/CE. Nelcontesto della direttiva 2002/58/CE, tale espressione corrisponde a "abbonato oaltra persona".

2Ai sensi della direttiva 2002/58/CE e del regolamento (UE)n. 611/2013, la notifica all'autorità deve essere effettuata entro un terminedi 24 ore a partire dal rilevamento della violazione, ove possibile,prorogabile in alcuni casi a 72 ore. La notifica all'abbonato o altra personadeve essere effettuata senza indebito ritardo (nel senso dell'articolo 2,paragrafo 2, del regolamento (UE) n. 611/2013) dopo la scoperta dellaviolazione di dati personali. La notifica alla persona interessata èindipendente dalla notifica all'autorità nazionale competente.

3Articolo 4, paragrafo 3, della direttiva 2002/58/CE; articolo 4, paragrafo 1,del regolamento (UE) n. 611/2013; articolo 32, paragrafo 3, del regolamentogenerale sulla protezione dei dati, nel testo consolidato non ufficiale votatodella commissione LIBE e messo a disposizione dal relatore.

4Va rilevato che, qualora la chiave venga successivamente compromessa, devonoessere notificate tutte le precedenti violazioni che non sono state comunicatein virtù della segretezza della chiave.

5Ai sensi della direttiva 2002/58/CE e del regolamento (UE)n. 611/2013, la notifica all'autorità deve essere effettuata entro un terminedi 24 ore a partire dal rilevamento della violazione di dati personali, ovepossibile, prorogabile in alcuni casi a 72 ore. La notifica all'abbonato oaltra persona deve essere effettuata senza indebito ritardo dopo la scopertadella violazione di dati personali.

6Dal momento che la proposta di regolamento sulla protezionedei dati prevede l'estensione generalizzata dell'obbligo di notifica a tutti isettori, e poiché alcuni Stati membri hanno già stabilito un obbligo legale dinotifica, gli esempi forniti nel presente parere non riguardano soltanto ilsettore delle comunicazioni elettroniche.

7Sebbene la prassi migliore consista nel troncamento dei datidella carta di credito sulla ricevuta cartacea del cliente, tale funzione non èdisponibile in tutti i terminali POS e i dati completi potrebbero comunqueessere stampati sulle copie delle ricevute per l'esercente.

8Poiché i dati delle carte di credito possono essere utilizzati anche senza CVV(o codice equivalente), devono essere notificate anche le violazioni che nonriguardino tale codice.

9A prescindere dalla circostanza che detto regolamento sia inapplicabile inquesto contesto.

10Ad esempio, un distruggidocumenti di classe 2 con un livello di sicurezza P-4 osuperiore secondo la classificazione DIN 66399 per i documenti cartacei.

11L'articolo 4, paragrafo 2, stabilisce che i dati sonoconsiderati incomprensibili se:

a) sono staticrittografati in modo sicuro mediante un algoritmo standardizzato, la chiaveutilizzata per decifrarli non è stata compromessa nell'ambito di una violazionedella sicurezza ed è stata generata in modo tale da non poter essereindividuata con i mezzi tecnologici disponibili da qualcuno che non siaautorizzato ad accedervi; o

b) sono statisostituiti dal loro valore hash calcolato mediante una funzione di hash conchiave crittografica normalizzata, la chiave utilizzata per l'hashing dei datinon è stata compromessa nell'ambito di una violazione della sicurezza ed èstata generata in modo tale da non poter essere individuata con i mezzitecnologici disponibili da qualcuno che non sia autorizzato ad accedervi.

12 Secondo studi recenti, tra il 55 el'80% degli utenti di Internet utilizza la medesima password per accountdiversi.

13Ai sensi dell'articolo 3, paragrafo 7, del regolamento (UE) n. 611/2013, il fornitore che, malgradoi ragionevoli sforzi profusi, non sia in grado di individuare entro il termineapplicabile tutte le persone che potrebbero essere lese dalla violazione didati personali, informerà tali persone entro lo stesso termine attraversoannunci pubblicitari nei principali mezzi di comunicazione nazionali oregionali negli Stati membri interessati. Sulla stessa linea, la suddettadisposizione prevede altresì che il fornitore continui a compiere tutti glisforzi ragionevoli per identificare tali persone e informarle non appenapossibile.