Trattamento dei dati personali

Gli hacker russi di Sandworm hanno preso di mira le reti elettriche negli Usa e in Europa per anni

Sandworm nel 2015 e nel 2016 è riuscita a innescare dei black-out di corrente elettrica in Ucraina che hanno non poco animato il dibattito pubblico circa la capacità dei sistemi informatici di intervenire all'interno di scenari di guerra. Stando a informazioni diffuse negli ultimi giorni, questo gruppo di hacker non si è assolutamente limitato a quello, e manterrebbe rapporti piuttosto stretti con altre realtà del mondo dell'hacking come Kamacite. Diverse società di sicurezza lo ritengono responsabile di azioni mirate a infrastrutture sensibili negli Stati Uniti e in Europa, con particolare riferimento alla rete elettrica. In altre termini, gli attacchi alle risorse civili perpetrati durante la guerra in Ucraina sarebbero perdurati anche fuori dal conflitto, e nei confronti di paesi diversi dall'Ucraina.

Gli attacchi alla rete elettrica riguardano anche l'Europa, e non solo gli Usa

In particolare Dragos ha pubblicato (fonte Wired) il suo rapporto annuale sullo stato della sicurezza dei sistemi di controllo industriale, in cui si menzionano quattro gruppi di hacker stranieri che sarebbero in azione su infrastrutture critiche. Secondo Dragos, tre di questi nuovi gruppi hanno preso di mira i sistemi di controllo automatico di infrastrutture legate al mondo dell'industria negli Stati Uniti, e non solo.

Ma l'aspetto che probabilmente merita maggiori attenzioni è quello legato al gruppo individuato come Kamacite, che la società di sicurezza descrive come partner strategico di Sandworm e del GRU, ovvero il servizio informazioni delle Forze armate russe. Secondo Dragos, già in passato Kamacite ha lavorato con Sandworm per fornire a quest'ultimo punti d'accesso a reti sensibili, permettendo di portare a compimento attacchi con effetti sensibili. I due gruppi agirebbero in sinergia, spartendosi i compiti di violazione dei sistemi informatici delle vittime. Dragos afferma che Kamacite ha ripetutamente preso di mira le società elettriche statunitensi, così come aziende che si occupano di petrolio, di gas e aziende industriali sin dal 2017.

Logo del GRU

"Operano continuamente contro entità elettriche statunitensi per cercare di mantenere una presenza all'interno delle loro reti" ha detto Sergio Caltagirone, VP Threat Intel di Dragos con un passato all'NSA e in Microsoft. Gli hacker legati alla Russia non sono mai arrivati a provocare black-out in nessuna parte degli Stati Uniti ma, avendo Kamacite lavorato con Sandworm quando è stata tolta l'energia elettrica prima a un quarto di milione di ucraini alla fine del 2015 e poi a una frazione della capitale di Kiev alla fine del 2016, la loro capacità di intromettersi nelle risorse infrastrutturali di altre nazioni dovrebbe destare preoccupazioni.

"È molto difficile che l'azione di Kamacite sia mirata solo alla raccolta di informazioni" ha detto ancora Caltagirone. "Questi attacchi di Kamacite sono pericolosi perché, grazie alle loro connessioni con entità come Sandworm, possono provocare effetti devastanti".

Secondo Dragos, a rischio non ci sarebbero solo gli Stati Uniti, ma anche altri paesi europei oltre all'Ucraina. Nel 2017, gruppi di hacker legati a queste organizzazioni hanno avviato una campagna di hacking ai danni del settore elettrico tedesco. Caltagirone aggiunge che la sua azienda ha registrato "un paio di intrusioni di successo tra il 2017 e il 2018 da parte di Kamacite in ambienti industriali dell'Europa occidentale".

L'azienda di cyber-sicurezza aggiunge che i principali strumenti di intrusione di Kamacite sono e-mail di spear-phishing con payload di malware con cui si è in grado di ottenere l'accesso ai servizi basati sul cloud di Microsoft come Office 365 e Active Directory, nonché alle reti private virtuali. Una volta che il gruppo ottiene l'accesso, sfrutta account utente validi per mantenere una presenza nella rete e usare strumenti di furto di credenziali come Mimikatz per ottenere dati e manipolare risorse.

Dragos, però, non ha certezze sul rapporto che intercorre tra Kamacite e Sandworm, già identificato dall'NSA e dal Dipartimento di Giustizia degli Stati Uniti come Unità 74455 del GRU. In passato sono state rilevate diverse identità che hanno collaborato a vari livelli con Sandworm, ma non è immediato distinguere i gruppi e stabilire quali sono i loro obiettivi. Se Kamacite è il gruppo specializzato nell'ottenere gli accessi, un altro gruppo conosciuto come Electrum sarebbe specializzato nello sviluppo dei payload di malware. Uno di questi, specificamente noto come Crash Override o Industroyer, è stato usato per gli attacchi alla rete elettrica ucraina nel 2015 e nel 2016. Dragos sospetta che questo malware possa anche disabilitare i sistemi di sicurezza e mandare in tilt gli apparati di rete.

Kamacite + Electrum = Sandworm

In altre parole, i gruppi che Dragos chiamano Kamacite ed Electrum costituiscono quello che altri ricercatori e agenzie governative chiamano Sandworm. "Un gruppo entra, l'altro gruppo sa cosa fare una volta ottenuto l'accesso", dice Caltagirone. "E quando operano separatamente, cosa che è successa stando alle nostre rilevazioni, vediamo chiaramente che nessuno dei due è molto bravo nel lavoro dell'altro".

Il rapporto di Dragos cita altri gruppi che avrebbero preso di mira risorse energetiche statunitensi ed europee. Il primo è Vanadinite, che sembra avere collegamenti con il gruppo di hacker cinesi noto come Winnti. In particolare, questo gruppo avrebbe usato il software noto come ColdLock per attacchi a Taiwan, puntando anche obiettivi energetici, di produzione e legati al mondo dei trasporti in tutto il mondo, inclusi Europa, Nord America e Australia, in alcuni casi sfruttando le vulnerabilità delle VPN.

Quello che Dragos chiama Talonite, invece, sembra aver preso di mira anche le aziende elettriche nordamericane, utilizzando e-mail di spear phishing contenenti malware identificato con il nome di Lookback, già identificato da Proofpoint nel 2019. Un altro gruppo che Dragos ha soprannominato Stibnite ha attaccato le risorse elettriche e siti di parchi eolici in Azerbaijan utilizzando siti Web di phishing e allegati e-mail dannosi.

Dragos non ha identificato attacchi da parte di questi gruppi nel 2020, ma sostiene che il fatto che stiano proliferando in numero è da considerarsi tendenza preoccupante. Caltagirone cita anche il caso di un'intrusione a un impianto di trattamento delle acque a Oldsmar, in Florida, all'inizio di questo mese, in cui un hacker ancora non identificato ha tentato di aumentare notevolmente i livelli di idrossido di sodio, molto pericoloso se rilasciato in valori elevati, vicino a una cittadina di 15 mila abitanti. Data la mancanza di protezioni su questo tipo di piccoli obiettivi infrastrutturali, un gruppo come Kamacite, sostiene Caltagirone, potrebbe facilmente innescare effetti diffusi e dannosi anche senza fare affidamento a un gruppo come Electrum.

Il numero di gruppi che prendono di mira i sistemi di controllo industriale è cresciuto notevolmente, conclude Dragos. "Stanno apparendo molti nuovi gruppi, mentre i precedenti rimangono in azione", dice Caltagirone. "In tre o quattro anni, sento che raggiungeremo un picco, e allora potrà diventare una catastrofe assoluta".

Principi fondamentali del trattamento (liceità, minimizzazione…)

(Schede di sintesi redatte dall'Ufficio del Garante a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell'Autorità. Per dubbi e domande si suggerisce di contattare l'Urp del Garante)

Principi generali del trattamento di dati personali

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:

liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;

limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;

minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;

esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;

limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;

integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Il Regolamento (articolo 5, paragrafo 2) richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability) che viene poi esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.”

Assicurare la liceità del trattamento di dati personali

Il Regolamento, come già previsto dal Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:

- consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Per quanto riguarda le “categorie particolari di dati personali” (articolo 9 del Regolamento), il loro trattamento è vietato, in prima battuta, a meno che il titolare possa dimostrare di soddisfare almeno una delle condizioni fissate all’articolo 9, paragrafo 2 del Regolamento, che qui ricordiamo:

l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;

il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;

il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;

il trattamento è necessario per uno dei seguenti scopi: per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale; per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso; per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri; per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali; per motivi di interesse pubblico nel settore della sanità pubblica; per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Per alcune di tali finalità sono previste limitazioni o prescrizioni ulteriori, anche nel diritto nazionale.

Consenso

Quando il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l'interessato ha prestato il proprio consenso), che è valido se:

all'interessato è stata resa l'informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);

è stato espresso dall'interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile.

Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno della modulistica.

Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).

Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).

Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).

Per approfondimenti: Linee-guida del WP29 sul consenso, qui disponibili: www.garanteprivacy.it/regolamentoue/consenso. Si segnalano anche le linee-guida in materia di profilazione e decisioni automatizzate del Gruppo "Articolo 29" (WP 251), qui disponibili: www.garanteprivacy/regolamentoue/profilazione.

Interesse vitale di un terzo

Si può invocare tale base giuridica per il trattamento di dati personali solo se nessuna delle altre condizioni di liceità può trovare applicazione (considerando 46).

Interesse legittimo prevalente di un titolare o di un terzo

Il ricorso a questa base giuridica per il trattamento di dati personali presuppone che il titolare stesso effettui un bilanciamento fra il legittimo interesse suo o del terzo e i diritti e libertà dell’interessato. Dal 25 maggio 2018, dunque, tale bilanciamento non spetta più all’Autorità, in linea di principio. Si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal Regolamento (UE) 2016/679.

L’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.

Il Regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.

Si ricordi, inoltre, che il legittimo interesse non può essere invocato isolatamente quale base giuridica per il trattamento delle categorie particolari di dati personali (articolo 9, paragrafo 2, del Regolamento).

Trasparenza del trattamento: l’informativa agli interessati

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all'interessato alcune informazioni anche per metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo).

QUANDO

L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento).

Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).

COSA

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.

In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.

Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

COME

L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: articolo 12, paragrafo 1, e considerando 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra (articolo 12, paragrafo 1).

Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (articolo 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea.

In base al Regolamento, si deve porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee (anche considerando 58).

Per maggiori dettagli ed esempi di redazione di informative, il documento del WP29 in materia di “Trasparenza” del trattamento, qui disponibile: www.garanteprivacy.it/regolamentoue/trasparenza

Un approccio responsabile al trattamento: Accountability

Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (articolo 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’articolo 25, paragrafo 1, del Regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari: ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (artt. 35- 36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati del Gruppo "Articolo 29", qui disponibili: www.garanteprivacy.it/Regolamentoue/DPIA). (Vedi anche: il tutorial del Garante sul concetto di “rischio")

All’esito di questa valutazione di impatto, il titolare:

potrà decidere se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero, se il rischio risulta ciononostante elevato;

dovrà consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità avrà quindi il compito di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’articolo 58 del Regolamento (dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento).

In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più previste

la notifica preventiva dei trattamenti all’autorità di controllo;

una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento).

Al loro posto, il Regolamento prevede in capo ai titolari l’obbligo (pressoché generalizzato) di tenere un registro dei trattamenti e, appunto, di effettuare valutazioni di impatto in piena autonomia con eventuale successiva consultazione dell’Autorità.

Principio di “responsabilizzazione” dei titolari e responsabili del trattamento: principali elementi

Rapporti contrattuali fra titolare e responsabile del trattamento

Il Regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice privacy italiano.

Tuttavia, il Regolamento (articolo 28) prevede dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”, quali, in particolare:

la natura, durata e finalità del trattamento o dei trattamenti assegnati

le categorie di dati oggetto di trattamento

le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento

Inoltre, il Regolamento prevede obblighi specifici in capo ai responsabili del trattamento, distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:

la tenuta del registro dei trattamenti svolti (articolo 30, paragrafo 2);

l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (articolo 32);

la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale (articolo 37).

Una novità importante del Regolamento è la possibilità di designare sub-responsabili del trattamento da parte di un responsabile (articolo 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (articolo 82, paragrafo 1 e paragrafo 3).

Registro dei trattamenti

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti - ma solo se non effettuano trattamenti a rischio (articolo 30, paragrafo 5) - devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all’articolo 30.

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. I contenuti del registro sono fissati nell’articolo 30. Tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Misure di sicurezza

Il titolare del trattamento, come pure il responsabile del trattamento, è obbligato ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

Fra tali misure, il Regolamento menziona, in particolare, la pseudonimizzazione e la cifratura dei dati; misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure atte a garantire il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l'efficacia delle misure di sicurezza adottate.

La lista di cui al paragrafo 1 dell’articolo 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”).

Per questi motivi, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza poiché tale valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento.

Vi è, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate (articolo 32, paragrafo 3).

Notifica di una violazione dei dati personali

A partire dal 25 maggio 2018, tutti i titolari dovranno notificare al Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al titolare.

Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’articolo 34.

I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli articolo 33 e 34 del Regolamento.

Tutti i titolari di trattamento devono in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provmenti adottati (articolo 33, paragrafo 5). È bene, dunque, adottare le misure necessarie a documentare eventuali violazioni, anche perché i titolari sono tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

Si segnalano, al riguardo, le linee-guida in materia di notifica delle violazioni di dati personali del Gruppo "Articolo 29", qui disponibili: www.garanteprivacy/regolamentoue/databreach.

Responsabile della protezione dei dati

La designazione di un “responsabile della protezione dati” (RPD) è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39). Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo 35, oltre alla funzione di punto di contatto per gli interessati e per il Garante rispetto a ogni questione attinente l’applicazione del Regolamento.

La sua designazione è obbligatoria in alcuni casi (articolo 37), e il Regolamento delinea le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: articoli 38 e 39) in termini che il Gruppo di lavoro “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ (www.garanteprivacy.it/Regolamentoue/rpd).

Si segnalano anche i materiali disponibili nella sezione “Responsabile della protezione dati” sul sito del Garante, che comprendono ulteriori FAQ sul punto (www.garanteprivacy/regolamentoue/rpd)

I diritti degli interessati

I titolari del trattamento devono rispettare le modalità previste per l’esercizio di tutti i diritti da parte degli interessati, stabilite, in via generale, negli artt. 11 e 12 del Regolamento

- In primo luogo, il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile del trattamento è tenuto a collaborare con il titolare ai fini dell’esercizio di tali diritti (articolo 28, paragrafo 3, lettera e) ).

- Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee (, in particolare, articolo 11, paragrafo 2 e articolo 12, paragrafo 6).

- Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), pari a 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

- La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

- Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive - anche ripetitive (articolo12, paragrafo 5) - ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (articolo 15, paragrafo 3). In quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (articolo 12, paragrafo 1; articolo 15, paragrafo 3).

Trasferimento dei dati all’estero

- Vedi la sezione del sito dedicata al tema

Trattamento dei dati personali

Trattamento dei dati personali

Il trattamento di dati personali può costituire un'ingerenza con il diritto al rispetto della vita privata.

Però, quest'ultimo diritto non è un diritto assoluto, ma relativo, cioè va contemperato opportunamente con gli altri diritti in gioco, sia privati sia pubblici. Qualsiasi trattamento di dati personali deve, quindi, essere svolto:

- in maniera lecita e secondo correttezza e trasparenza;

- i dati devono essere raccolti e trattati per scopi determinati, espliciti e legittimi, e utilizzati in termini compatibili con tali scopi;

- i dati devono essere esatti e aggiornati, pertinenti, completi e non eccedenti rispetto agli scopi del trattamento;

- i dati devono essere conservati per un periodo non superiore al tempo necessario per raggiungere gli scopi del trattamento, trascorso il quale i dati vanno cancellati oppure anonimizzati.

Il titolare del trattamento deve anche essere in grado di dimostrare la conformità del trattamento dei dati (principio di responsabilizzazione).

Ovviamente i dati raccolti o trattati in modo illecito non possono essere in alcun modo utilizzati. In caso contrario l'utilizzatore può essere soggetto a sanzioni e condannato al risarcimento dei danni causati (art. 2050 cod. civ. e art. 13 Cod. Privacy).

L'articolo 4 del Regolamento europeo definisce il trattamento dei dati personali, come qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Il concetto di trattamento ingloba, quindi, tutte quelle operazioni che implicano una conoscenza di dati personali. E' irrilevante per la configurabilità del trattamento la mancata registrazione dei dati in una banca dati, essendo sufficiente anche una raccolta di dati e conseguente elaborazione temporanea.

Tipi di trattamento

La raccolta dei dati è la prima operazione e generalmente rappresenta l'inizio del trattamento; consiste nell'attività di acquisizione del dato.

La registrazione consiste nella memorizzazione dei dati su un qualsiasi supporto.

L'organizzazione consiste nella classificazione dei dati secondo un metodo prescelto.

La strutturazione consiste nell'attività di distribuzione dei dati secondi schemi precisi.

La conservazione consiste nel mantenere memorizzate le informazioni su un qualsiasi supporto.

La consultazione è la lettura dei dati personali. Anche la semplice visualizzazione dei dati è un trattamento che può rientrare nell'operazione di consultazione.

L'elaborazione consiste nell'attività con la quale il dato personale subisce una modifica sostanziale. La modificazione differisce dall'elaborazione in quanto può riguardare anche solo parte minima del dato personale.

La selezione consiste nell'individuazione di dati personali nell'ambito di gruppi di dati già memorizzati.

L'estrazione consiste nell'attività di estrapolazione di dati da gruppi già memorizzati.

Il raffronto è un'operazione di confronto tra dati, sia un conseguenza di elaborazione che di selezione o consultazione.

L'utilizzo è un'attività generica che ricopre qualsiasi tipo di impiego dei dati.

L'interconnessione consiste nell'utilizzo di più banche dati, e si riferisce all'impiego di strumenti elettronici.

Il blocco consiste nella conservazione con sospensione temporanea di ogni altra operazione di trattamento.

La comunicazione (o cessione) consiste nel dare conoscenza di dati personali ad uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati. In caso di comunicazione il dato viene trasferito a terzi, ed è quindi attività particolarmente delicata.

Per diffusione, invece, si intende il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione. Si ha, quindi, diffusione anche quando si pubblica online, ad esempio una fotografia su un social network. In assenza di consenso tale attività deve ritenersi illecita.

La cancellazione consiste nell'eliminazione di dati tramite l'utilizzo di strumenti elettronici.

La distruzione è l'attività di eliminazione definitiva dei dati.

Base giuridica del trattamento

Un trattamento per essere lecito deve trovare fondamento in una idonea base giuridica (consenso,legittimi interessi, ecc...). La normativa prevede, inoltre, che debba essere tenuto un registro dei trattamenti svolti dal titolare, da fornire alle autorità in caso di controllo.

Ambito di applicazione materiale e esenzioni

In base all'art. 2 il Regolamento generale si applica a due tipi di trattamenti di dati personali:

1) quelli interamente o parzialmente automatizzati;

2) quelli non automatizzati (il riferimento è a trattamenti su carta) di dati personali contenuti in un archivio o destinati a figurarvi.

Per "archivio" (filing system) si intende "qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico" (GDPR art. 4). Tale nozione è stata specificata meglio dalla Corte di Giustizia: "l’insieme di dati personali raccolti nell’ambito di un’attività di predicazione porta a porta, contenente nomi, indirizzi e altre informazioni riguardanti le persone contattate porta a porta, allorché tali dati sono strutturati secondo criteri specifici che consentono, in pratica, di recuperarli facilmente per un successivo impiego. Affinché il suddetto insieme rientri in tale nozione, non è necessario che esso comprenda schedari, elenchi specifici o altri sistemi di ricerca” (CGUE, C-25/17). Si tratta di una definizione importante perché delimita l'applicabilità del GDPR (a differenza del Codice Privacy previgente). Il concetto di archivio, quindi, esclude dall'ambito di applicazione del GDPR gli archivi non strutturati, ma nel contempo il GDPR si guarda bene dall'escludere un trattamento solo perché esso sia realizzato su carta. In sintesi se è possibile estrarre informazioni su un individiduo anche dai registri cartacei, tali documenti rientrano nel concetto di archivio.

In tale prospettiva il GDPR disciplina solo il trattamento dei dati personali che riguardano una persona fisica, con esclusione delle persone giuridiche (tranne poche eccezioni). Quindi solo le persone fisiche possono essere interessati del trattamento, non anche le persone giuridiche. Il GDPR, però, non si applica alle persone decedute (Considerando 27), ma qui interviene il Decreto di adeguamento del Codice Privacy che estende le tutele del GDPR al trattamento dei dati dei deceduti (art. 2-terdecies).

Il regolamento, invece, non si applica nei seguenti casi:

- trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;

- trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza);

- trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse (direttiva 2016/680);

- trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (esenzione per uso personale).

Valutazione di impatto

Una novità prevista dal nuovo regolamento geenerale è data dalla DPIA, la valutazione di impatto del trattamento sui diritti degli interessati, che è diventato un elemento essenziale. Il titolare dovrà valutare il rischio per ogni trattamento, individuando, nei casi di rischio elevato, misure specifiche per l'eliminazione o attenuazione del rischio.

Esenzione per uso personale (o domestico)

Il Codice per la privacy (art. 5) permetteva, senza necessità di consenso, la raccolta di dati personali per uso strettamente personale purché non destinati alla comunicazione o alla diffusione sistematica a terzi (es. pubblicazione sul web). Il caso classico è l'agenda personale, compreso le agende automatizzate. Altre ipotesi di esenzioni si hanno con riferimento agli appunti e al materiale informativo (ritagli da giornali, cd-rom, libri) che chiunque è solito conservare nella propria sfera privata per esigenze culturali o altre esigenze della vita di relazione. L'eccezione va interpretata, secondo la Corte di Giustizia europea, in senso restrittivo rientrando nella previsione solo un trattamento di dati personali che sia effettuato nella sfera esclusivamente personale o domestica della persona che procede a tale trattamento. Quindi, la pubblicazione di foto online costituisce trattamento soggetto alla normativa in materia di data protection (quindi occorre informativa e consenso).

L'articolo del Codice è stato poi abrogato dal decreto di adeguamento. Infatti il regolamento europeo (art. 2 lett c) prevede che la regolamentazione non si applichi ai trattamenti di dati personali "effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” (house hold exclusion provision). La norma ricalca quella del Codice privacy, senza la delimitazione della destinazione alla comunicazione o diffusione. Questo perché la Corte di Giustizia europea (caso C-101/01 e poi caso C-212/13) ha chiarito che il trattamento di dati personali sul web non può rientrare nell'eccezione delle attività per uso personale e familiare. L'eccezione, in conclusione, deve interpretarsi nel senso che rientrano in essa solo le attività della vita privata o familiare dei singoli, con esclusione della pubblicazione online che, invece, rende accessibili i dati ad un numero indefinito di persone.

In realtà il considerando 18 prevede che il regolamento europeo “non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività”. In tal modo si è ampliata l'eccezione rispetto al passato.

Tuttavia sempre il medesimo considerando stabilisce che il “presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico”. In tal modo sembra che la responsabilità sia spostata sugli intermediari della comunicazione. In tal senso ricordiamo che l'articolo 2, ultima comma, precisa che “Il presente regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva”. In questo modo il legislatore chiarisce che il regolamento in materia di protezione dei dati personali non ha effetti giuridici sull'applicazione della direttiva eCommerce (2000/31/CE) e quindi sulle responsabilità in capo ai provider. In tale prospettiva non è, purtroppo, chiaro il rapporto tra le due normative.