La violazione di dati personali, comunemente detta “data breach”, non è esattamente un “data breach” tecnico.

La definizione operata dal legislatore [art. 4, 11), GDPR] ci dice che la violazione di dati personali è una “violazione di sicurezza” con effetti avversi sui dati personali. Pertanto, il “personal data breach” è in ogni caso un “incidente” ma non sempre di natura informatica. Ad esempio, la circolare n. 285 della Banca d’Italia, con riferimento alla gestione dei rischi considera il rischio ICT della banca, secondo gli “Orientamenti dell’EBA sulla gestione dei rischi relativi alle tecnologie dell’informazione e della comunicazione e di sicurezza del 28 novembre 2019. Di converso, la violazione di dati personali può essere sia un incidente che coinvolge le risorse informatiche che non. Esempio di questo secondo tipo sono le violazioni che derivano dall’invio di corrispondenza (cartacea o elettronica) a destinatari errati.

La perdita o il furto di dispositivi mobili e documenti rappresenta la quinta tipologia di casi di data breach affrontati nelle linee guida EDPB 01/2021. Come nelle puntate precedenti del 28/1/2021, dell’11/2/2021, dell’11/3/2021 e dell’1/4/2021, riportiamo in sintesi:

  •  gli elementi salienti di ciascun incidente
  • le ripercussioni in termini di rischi prodotti
  • gli adempimenti che si rendono necessari
  • le misure di mitigazione e di correzione ipotizzabili.

Casi data breach

5. Corrispondenza spedita erroneamente

Gli incidenti derivanti dall’invio di corrispondenza a destinatari errati determinano sempre una violazione di confidenzialità (perchè i dati personali ivi contenuti sono accessibili da parte di terzi non autorizzati).

Tredicesimo esempio – Fatti

Gli elementi fattuali dell’esempio sono:

  • Errore di posta ordinaria
  • A causa di un errore umano, due clienti hanno visto scambiati gli ordini, comprese le bolle di accompagnamento contenenti i dati personali. 
  • Il titolare del trattamento, venuto a conoscenza della violazione, ha richiamato gli ordini e li ha trasmessi ai destinatari giusti.

Conseguenze e Rischi

  • Le bolle di accompagnamento contenevano dati comuni (nome, indirizzo, più l’articolo acquistato e il suo prezzo). 
  • Le conseguenze non hanno avuto un effetto negativo sostanziale sugli individui
  • La violazione è effetto di un errore umano occasionale e non sistemico
  • L’incidente ha riguardato solo due interessati
  • Il rischio è pertanto basso.

Adempimenti

Azioni necessarie basate sui rischi identificati

No rischio (documentare) Rischio (notificare) Rischio elevato (comunicare a interessati)
🆗

Misure

  • Il titolare dovrebbe richiedere ai destinatari sbagliati di distruggere / cancellare tutte le eventuali copie delle bolle contenenti i dati personali dell’altra persona.