Un incidente di sicurezza è un evento (o una serie di eventi) di origine dolosa o accidentale, esterno o interno all’organizzazione, che può comportare la compromissione dei dati detenuti da un’organizzazione, mettendo a rischio uno o più dei tre principi della sicurezza delle informazioni: riservatezza, integrità e disponibilità. Un incidente di sicurezza può riguardare contemporaneamente la riservatezza, l’integrità o la disponibilità di dati e informazioni o consistere in una qualsiasi combinazione di esse.

ESEMPI

Un incidente di sicurezza può verificarsi, ad esempio, in seguito ad un attacco informatico, ad un comportamento umano illecito o accidentale, ad una catastrofe naturale, a un malfunzionamento hardware o software.

Si verifica:

• una violazione della riservatezza in caso di divulgazione dei dati o accesso agli stessi non autorizzati o accidentali;
• una violazione dell’integrità in caso di modifica non autorizzata o accidentale dei dati;
• una violazione della disponibilità in caso di perdita o distruzione non autorizzate o accidentali di dati.

Un dato personale è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale, o sociale»

ESEMPI

Sono dati personali tutte quelle informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.. L’identificazione richiede elementi che permettono di distinguere una persona dalle altre. Il nome e il cognome, ad esempio, permettono di identificare una persona direttamente, mentre dati personali come il numero di telefono, il codice fiscale, l’indirizzo IP, la targa di un veicolo permettono di identificare una persona indirettamente. Sono dati personali, ad esempio, i dati anagrafici (nome, cognome, data di nascita, luogo di nascita), i dati di contatto (indirizzo postale, indirizzo di posta elettronica, numero di telefono fisso o mobile), dati di accesso e di identificazione (username, password), dati di geolocalizzazione, dati di pagamento. Specialmente delicati sono dati appartenenti a categorie particolari, e cioè dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale; dati genetici; dati biometrici intesi ad identificare in modo univoco una persona fisica; dati relativi alla salute o alla vita sessuale o all’orientamento sessuale e i dati personali relativi a condanne penali e reati.

Il rischio sussiste quando la violazione può comportare un danno fisico, materiale o immateriale, per le persone fisiche i cui dati sono stati violati. Il considerando 85 del Regolamento elenca alcuni danni che possono derivare da una violazione dei dati personali, quali ad esempio: la discriminazione, il furto o l’usurpazione di identità, perdite finanziarie, il pregiudizio alla reputazione, la perdita di riservatezza dei dati personali protetti da segreto professionale, la decifratura non autorizzata della pseudonimizzazione o qualsiasi altro danno economico o sociale significativo. In caso di violazione dei dati personali « il titolare del trattamento notifica la violazione all’autorità di controllo […] a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche». La norma chiarisce che se è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche – cioè, è improbabile che dalla violazione possa derivare un impatto negativo per le persone fisiche e il titolare sia in grado di dimostrarlo - la violazione occorsa non è soggetta all’obbligo di notifica all’Autorità di controllo. La valutazione del rischio derivante da una violazione dei dati personali, che deve tener conto della probabilità e della gravità del suo impatto sulle persone fisiche i cui dati sono stati coinvolti (cfr. considerando 75 e 76 del Regolamento), è un importante adempimento che, conformemente al principio di responsabilizzazione, spetta unicamente al titolare del trattamento e dalla quale deriva il corretto adempimento dell’obbligo di notifica della violazione all’autorità di controllo e dell’eventuale comunicazione della violazione agli interessati. Al fine di valutare il potenziale rischio per le persone fisiche, le “Linee guida Apertura sito esterno in una nuova scheda per le Linee guida Notifica violazioni” suggeriscono di considerare diversi fattori, tra cui:

• tipo di violazione;
• natura, carattere sensibile e volume dei dati personali;
• facilità di identificazione delle persone fisiche;
• gravità delle conseguenze per le persone fisiche;
• caratteristiche particolari dell’interessato;
• caratteristiche particolari del titolare del trattamento;
• numero di persone fisiche interessate.

Esempi di violazioni che potrebbero non presentare rischi per gli interessati, e quindi non essere soggette all’obbligo di notifica all’Autorità di controllo, sono:

• la violazione di dati personali già disponibili pubblicamente, in quanto potrebbe risultare improbabile il verificarsi di un danno fisico per gli interessati conseguente alla divulgazione di dati personali già pubblici;
• la perdita o il furto di una chiavetta USB contente dati personali crittografati (con algoritmo di crittografia all’avanguardia e chiave di decifrazione non sia compromessa), di cui è disponibile un backup che consente un integrale e tempestivo ripristino dei dati.

Infine, l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) ha elaborato «Raccomandazioni in merito a una metodologia di valutazione della gravità di una violazione dei dati personali Apertura sito esterno in una nuova scheda per Raccomandazioni in merito a una metodologia di valutazione della gravità di una violazione dei dati personali - Metodologia Enisa», che possono essere utili ai fini della valutazione del rischio.