I dati sensibili sono determinati da tutto quell’insieme di dati personali e informazioni che identificano o rendono identificabile, sia direttamente che indirettamente, una persona fisica. Il problema della loro gestione è divenuto prioritario con l’avvento delle nuove tecnologie. La mole di informazioni che viene infatti scambiata attraverso e-mail, conservazione in archivi elettronici o di localizzazione è davvero impressionante.

Va da sé che la cosa fondamentale per evitare il furto dei dati personali, soprattutto a livello aziendale, è una buona strategia di protezione. Come si suol dire “prevenire è meglio che curare” e, mai come in questo caso, è importante sapersi proteggere. PrivacyLab è in grado di fornire servizi e Tools in Cloud che permettono di gestire gli adempimenti previsti dal Reg. Europeo sulla protezione dei Dati Personali. Eh sì, perché sono davvero molte le parti in causa e la gestione di grandi moli di dati può essere davvero complicata se non ci si sa affidare ad un buon esperto del settore.

Dati sensibili: le tre parti in gioco

Spesso ci occupiamo, e preoccupiamo, del problema del trattamento dei dati personali solo dal nostro punto di vista ma sono diverse le parti in gioco.

Se sei un privato cittadino ti sarà sicuramente capitato di dover spuntare l’informativa sul trattamento dei dati personali per poter procedere con un’attività qualsiasi. Forse, però, non hai mai pensato davvero a che fine fanno successivamente i tuoi dati.

 Chi ne è responsabile? Chi si occupa della loro gestione e della loro protezione? E, in caso di furto, che succede? Iniziamo con l’analizzare le tre diverse figure che ruotano attorno alla raccolta di dati personali:

• Utente interessato: si tratta della persona fisica alla quale si riferiscono determinati dati sensibili. Se sei un privato cittadino che, ad esempio per fare la tessera di un supermercato, deve fornire indirizzo, email e numero di telefono ecco, tu sei l’interessato di quei dati. Lo definisce l’articolo 4, paragrafo 1, punto 1 del Regolamento UE 2016/679);
• Titolare: si tratta della persona fisica, dell’azienda dell’autorità pubblica, dell’associazione… Insomma, dell’istituzione che adotta le decisioni sugli scopi e sulle modalità del trattamento dei dati. Viene definito dall’articolo 4, paragrafo 1, punto 7 del Regolamento UE 2016/679;
• Responsabile è la persona fisica o giuridica alla quale il titolare affida il compito di gestire e controllare a nome suo tutto ciò che ruota attorno al trattamento dei dati. Viene definito dall’articolo 4, paragrafo 1, punto 8 del Regolamento UE 2016/679. È anche stata stabilita la possibilità che un responsabile possa, rispettando determinate condizioni, designare un altro soggetto c.d. "subresponsabile" (articolo 28, paragrafo 2).

Trattamento dei dati personali

Quando parliamo di “trattamento dei dati sensibili” intendiamo qualsiasi operazione, o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.

Va da sé che le figure professionali preposte al trattamento dei dati personali altrui devono adottare particolari misure atte a garantire il corretto e sicuro utilizzo dei dati.

Non sempre, però, tutto funziona liscio e può succedere che alcuni criminali hacker violino i dati personali.

Una violazione di dati personali, anche definita data breach, è una violazione di sicurezza che la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali è dunque un atto grave che può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni esempi per capire meglio:

• Il furto o la perdita di dispositivi informatici (tablet, cellulari, PC o chiavette USB) contenenti dati personali;
• L’acquisizione dei dati da parte di hacker
• La modifica fraudolenta di dati personali;
• Eventuali attacchi di virus, malware, ecc.;
• La perdita o la distruzione di dati personali a causa di fattori fisici come incendi, allagamenti, crolli
• La divulgazione a terze parte di dati senza il consenso al loro trattamento

Cosa fare in caso di furto dei dati personali?

La legge è piuttosto chiara al riguardo e stabilisce esattamente cosa fare in caso si andasse incontro al furto dei propri dati sensibili.

Nella pratica dei fatti, chi ha subito il furto di dati, sia esso soggetto pubblico, impresa, associazione, partito, o professionista deve notificare la violazione al Garante per la protezione dei dati personali. Per tutelarsi è importante agire prontamente.  

La normativa specifica “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne se ne è venuti a conoscenza”. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

La notifica non è necessaria in tutti quei casi in cui sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Vanno solamente notificate le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, sia materiali che immateriali.

Nei casi più gravi in cui il furto di dati possa tramutarsi in un elevato rischio per i diritti delle persone, il titolare ha l’obbligo di darne comunicazione a tutti gli interessati. Per poterlo fare dovrà avvalersi dei mezzi più idonei e potrà farne a meno solo in caso abbia già preso le giuste misure per limitarne l’impatto.

Se dal lato ‘utente interessato’ l’unica cosa che si può fare attivamente è prestare ben attenzione a ciò che si firma senza considerare il consenso al trattamento dei dati una mera formalità, dal lato titolare o responsabile è fondamentale saper adottare una buona strategia preventiva e prepararsi per tempo a tutte le eventualità.