La confidenzialità nel GDPR

Quadro normativo

Il Regolamento UE 2016/679 (di seguito “GDPR”) si prefigge, tra gli altri, due obiettivi rilevabili direttamente dalla sua intitolazione. Da un lato, la protezione delle persone fisiche con riguardo al trattamento dei dati personali e dall’altro la libera circolazione di tali dati.

Per fare ciò, la Commissione è partita da un assunto importante: alla base del trattamento e della circolazione dei dati personali c'è il bisogno di “fiducia”. Questa fiducia deve essere presente sia da parte delle persone i cui dati sono oggetto di trattamento, sia da parte degli operatori che, nel loro ruolo di Titolari o Responsabili, necessitano di effettuare tali trattamenti per le loro finalità istituzionali o commerciali.

La costruzione di tale fiducia è stata supportata dalla creazione di un impianto normativo europeo che presentasse una linea operativa comune e regole certe per Titolari e Responsabili (di seguito “operatori”) riguardo al trattamento e alla circolazione dei dati, nonché specificasse in modo chiaro i diritti, le azioni di intervento e i rimedi in favore della persona fisica i cui dati sono oggetto di trattamento.

Il GDPR disciplina così, assieme ai principi, le pratiche e le misure che gli operatori sono tenuti a seguire per permettere, tra le altre, la costruzione della fiducia degli individui nei loro confronti. I principi indicati all’art. 5 ne sono un evidente rappresentazione.

Tra di essi rileviamo il concetto di riservatezza (art. 5, par. 1, lett. f) che si inserisce nel più ampio contesto della sicurezza dei dati. Com’è noto, invece, il termine “confidenzialità” non è presente nel testo italiano del GDPR, reperendosi esclusivamente nella versione inglese (“confidentiality”).

Confidenzialità e riservatezza

Come anticipato, il termine “confidenzialità” non viene menzionato all’interno del GDPR nella versione italiana, che utilizza esclusivamente il termine “riservatezza” quale traduzione di “confidentiality” del testo inglese. Nella letteratura giuridica e nei provvedimenti dell’autorità di controllo italiana (“Garante Privacy”) non si rilevano infatti distinzioni particolari, trovandosi sempre come alternative, o meglio sinonimi.

Il termine “confidenzialità” è spesso utilizzato nell’ambito della sicurezza delle informazioni, prevalentemente per analogia fonetica con il testo inglese (“confidentiality” con “confidenzialità”).

Volendo comunque fare un approfondimento terminologico più preciso, troviamo che il termine confidenzialità e l’aggettivo “confidenziale” portino con sé connotazioni relative ad aspetti di fiducia, ma anche di segreto o riserbo, presente in rapporti tra persone la cui vicinanza o relazione presuppone affidamento.

Il termine riservatezza, più neutro e scevro di connotazioni relazionali, si presta meglio a definire principi generali o operazioni legate a contesti più ampi.

In questo senso appare corretta la traduzione in “riservatezza” nel testo del Regolamento, sganciandosi dal mero rispetto della vita privata (art. 7 della Carta dei Diritti dell’Unione Europea) e coprendo il più ampio spettro della protezione dei dati personali (art. 8 della citata Carta), che ha la capacità di incorporare il precedente principio.

Pertanto, a prescindere dalle specifiche definizioni terminologiche, nel prosieguo si procederà all’analisi dei concetti di confidenzialità o riservatezza nell’ambito del GDPR considerando che i due termini sono usati come sinonimi.

La confidenzialità nel GDPR

1.I principi applicabili al trattamento

L'articolo 5 GDPR elenca i principi applicabili al trattamento dei dati, attribuendo significati descrittivi mediante termini chiave. Come anticipato, il paragrafo 1, lettera f), specifica che il trattamento dei dati personali deve garantire un'adeguata sicurezza tramite misure tecniche e organizzative per prevenire trattamenti non autorizzati o illeciti (“riservatezza”), nonché per evitare la perdita, distruzione o danneggiamento accidentali (“integrità”). La riservatezza si pone dunque, oltre che obiettivo cardine per la protezione dei dati personali, anche come linea guida per la determinazione delle misure di sicurezza adottate, anche con riguardo alle figure coinvolte. Come evidenziato dai Considerando 39, 49, 75, 83 e 85 del Regolamento.

Infine, il paragrafo 2 dell'articolo 5 introduce il principio di “responsabilizzazione”, evidenziando il ruolo cruciale del Titolare del trattamento sia in termini operativi che probatori.

2.Il Responsabile del trattamento

Sulla linea dei principi applicabili al trattamento, al Titolare è attribuito il compito di individuare Responsabili che abbiano la capacità di rispettare il GDPR sia dal punto vista organizzativo che tecnico. In termini organizzativi, l’art. 28, par. 3, lett. b, impone che nell’atto di nomina a responsabile sia previsto un obbligo di riservatezza per le persone autorizzate al trattamento. Questo obbligo rappresenta la prima applicazione pratica del principio di riservatezza indicato all’art. 5, specificando una fra le misure idonee a prevenire trattamenti non autorizzati o illeciti, cioè la segregazione delle informazioni ai soli soggetti autorizzati. L’art. 28, inoltre, amplia la sua portata con il riferimento all’art. 32, che riguarda il più ampio tema della sicurezza.

3.La sicurezza del trattamento

L’art. 32 GDPR prevede una norma tecnicamente e organizzativamente neutra, che demanda ad un'attività preliminare di analisi dei rischi la valutazione delle misure tecniche e organizzative ritenute adeguate. Questo si distacca dalle prescrizioni di dettaglio previste in altre normative, ampliando così il concetto di responsabilizzazione degli operatori. La lettura congiunta dei paragrafi 1 e 2 individua le linee guida utili a valutare i rischi e a definire le misure di sicurezza adeguate.

a)Gravità e probabilità del rischio

La “Gravità” (o “Impatto”) e la “Probabilità” sono le componenti principali per la determinazione del livello di rischio nelle metodologie più conosciute. Tra queste, citiamo come esempio la metodologia proposta dall'ENISA nel proprio “Handbook on Security of Personal Data Processing” del 2018. Il manuale suggerisce che il calcolo dell'impatto si basi su tre fattori di “perdita”: riservatezza, integrità e disponibilità. Il primo di questi fattori è appunto la riservatezza, considerata come la possibilità che questa venga meno e che possa quindi verificarsi una divulgazione, anche accidentale, dei dati trattati. La valutazione di tale componente dovrà essere basata sulla conseguenza per l'interessato e sugli effetti potenziali derivanti dalla perdita di riservatezza.

b)La riservatezza nei sistemi e dei servizi

In merito alle possibili misure di sicurezza, il paragrafo 1, lettera b, identifica come requisito delle misure adottate “la capacità di assicurare su base permanente la riservatezza dei sistemi e dei servizi di trattamento”. Questa precisazione deve indurre a considerare la riservatezza come un requisito che deve perdurare durante tutto il periodo del trattamento dei dati personali svolto dagli operatori.

Misure tecniche e organizzative

Le misure di sicurezza possono essere valutate in modo concentrico (dal più esterno al più interno), duale (fisico e logico), nonché organizzativo e tecnico.

1.Applicazione pratiche delle misure di sicurezza relative alla riservatezza

Basandoci su un approccio pratico, di seguito sono indicate le misure di sicurezza relative (e non solo) alla riservatezza dei dati personali trattati.

a)Misure di sicurezza perimetrali

Tra le misure di sicurezza finalizzate, tra l'altro, a garantire la confidenzialità, si devono indicare in primo luogo quelle perimetrali. Queste sono le misure primarie che si focalizzano sull'esterno, distinguendo le attività interne da quelle esterne.

Fra queste possiamo rilevare le misure fisiche:

• Tecniche: barriere fisiche, sistemi di allarme, ecc.;
• Organizzative: controlli all’ingresso, badge identificativi, supervisione dei soggetti provenienti dall’esterno, ecc.

E le misure logiche (informatiche):

• Tecniche: autenticazione, firewall, crittografia, ecc.;
• Organizzative: procedure di onboarding e offboarding, regolamenti, formazione, ecc.

b)Misure di sicurezza interne

Le misure di sicurezza interne si concentrano su come gli operatori organizzano i sistemi e i servizi di trattamento. In questa fase, la distinzione tra aspetti fisici e logici è meno marcata, eccetto che per la compartimentazione delle aree di trattamento, come ad esempio la separazione tra reparto HR e reparto Finance. L'attenzione si sposta prevalentemente sulle misure di sicurezza tecniche e organizzative.

Fra le misure tecniche si potrebbero rilevare:

• Ruoli utente definiti e limitati nelle funzioni;
• Sistemi di alert riguardanti le modifiche dei privilegi;
• Sistemi di logging;
• Sistemi di cancellazione sicura dei dati.

Fra le misure organizzative, che rispecchieranno e richiameranno le misure tecniche, si potrebbero trovare:

• Policy di creazione utenti connesse a specifici principi (segregation of duty, need to know e last privilege);
• Procedure documentate per la modifica e l’assegnazione dei diritti;
• Account personali, soprattutto per i livelli autorizzativi più elevati (es. superadmin);
• Verifica delle caratteristiche soggettive e formazione degli utenti.

c)Misure di sicurezza legate ai dati

Infine, specifiche misure di sicurezza tecniche e organizzative, strettamente interconnesse, possono essere applicate direttamente sui dati trattati. Queste misure possono interessare sia i dati a riposo che quelli in transito, offrendo agli operatori maggiore flessibilità e precisione nell'azione di mitigazione del rischio.

Queste misure, elencate nell'articolo 32 del GDPR, includono la crittografia e la pseudonimizzazione, che dovranno essere supportate da adeguate policy per la gestione delle chiavi di crittografia e per il collegamento ai dati identificativi nel caso della pseudonimizzazione.

2.L’ereditarietà nell’analisi delle misure di sicurezza

Come menzionato in precedenza, le misure di sicurezza possono essere considerate concentriche. Questo approccio permette agli operatori di considerare, per determinate minacce, misure di sicurezza già in uso nella valutazione del rischio residuo.

Ad esempio, le aree con accesso limitato ai soli possessori di un codice, rappresentano una misura fisica perimetrale che influisce positivamente sulla confidenzialità. A queste verranno aggiunte ulteriori misure, specifiche per il trattamento, che tengano conto anche della tipologia dei dati.

Proseguendo l'esempio, se le aree contenessero dispositivi informatici, questi potrebbero essere protetti da chiavi (come nel caso dei server) o comunque dotati di sistemi di sicurezza fisica per prevenire furti, che potrebbero portare a potenziali perdite di confidenzialità (e non solo). Per mitigare ulteriormente l’impatto sulla riservatezza, una buona pratica sarebbe prevedere l'accesso esclusivamente tramite un account utente ai dispositivi.

Tuttavia, queste misure non escludono completamente il rischio di perdita di confidenzialità, che risulterebbe quasi annullato qualora gli operatori adottassero anche, quale ultimo baluardo, un sistema di cifratura idoneo (es. cifratura del disco rigido).

È importante sottolineare che queste misure, focalizzate sulla confidenzialità, non eliminano tutti i rischi in questo ambito e non mitigano altri aspetti come la disponibilità dei dati (si pensi al caso di dati residenti solo su un dispositivo, ancorché cifrato).

3.L’importanza di un approccio tecnico-organizzativo alle misure di sicurezza

Le misure tecniche e quelle organizzative sono due facce della stessa medaglia e la loro applicazione è da considerarsi necessariamente congiunta e complementare.

La sinergia tra le due categorie di misure di sicurezza è fondamentale per colmare le lacune che possono presentarsi in entrambi i campi. Consideriamo, ad esempio, un sistema di autenticazione basato su nome utente e password complessa, che non preveda però conseguenze per il comportamento di annotare la password su un post-it attaccato allo schermo. In questo scenario, una possibile misura organizzativa potrebbe essere un regolamento interno aziendale sull'uso degli strumenti informatici, accompagnato da un'adeguata attività di formazione e sensibilizzazione sul tema.

4.La formazione come trait d'union delle misure di sicurezza

La formazione rappresenta un elemento fondamentale per la conformità al GDPR. Svolge infatti il cruciale compito di istruire e sensibilizzare le persone incaricate del trattamento dei dati personali, in modo che comprendano appieno il proprio ruolo e le relative responsabilità. Inoltre, la formazione consente di ampliare l'efficacia delle misure tecniche e di valorizzare il loro ruolo specifico nelle attività svolte dai dipendenti.

La confidenzialità come legittima aspettativa dell’individuo

In merito al rapporto tra il soggetto a cui si riferiscono i dati personali e quello che questi dati li tratta, si è già detto quanto questo voglia essere favorito da una normativa volta ad infondere fiducia tra gli operatori e gli individui. L’aspetto fiduciario però non è connaturato alla loro relazione e per questo la normativa si inserisce a garanzia di entrambi, per tutelare le legittime libertà di azione e rispetto reciproco.

La normativa permette all'individuo che condivide i propri dati di nutrire una legittima aspettativa riguardo ad un trattamento sicuro e confidenziale dei suoi dati personali. Analogamente, gli operatori legittimati, hanno a loro volta l’aspettativa di poter trattare purché rispettino il GDPR e garantiscano idonei presidi di sicurezza (e non solo).

L’aspettativa dell’individuo aumenta con il grado di sensibilità dei dati condivisi, come quelli relativi alla sfera intima o alle convinzioni politiche e religiose. L’aumento è proporzionale agli sforzi tecnici e organizzativi che gli operatori devono porre in essere nel momento in cui intendano trattare queste categorie di dati personali. Il GDPR esprime bene questo concetto di proporzionalità che deve sussistere tra trattamento e presidi di sicurezza, proprio per non frustrare le aspettative degli individui a non vedersi esposti a possibili rischi per i propri diritti e le proprie libertà a causa della mancata tutela da parte degli operatori che trattano i suoi dati (ancorché lo facciano per fini legittimi).

I diritti dell'individuo (e i rimedi)

Nell'intento di salvaguardare le aspettative legittime degli individui, il GDPR delinea specifici diritti specificamente indicati agli articoli dal 12 al 22. Tali diritti sono azionabili anche in modo “coercitivo” tramite l'intervento delle Autorità di Controllo o delle Autorità giudiziarie. A questi diritti, che potremmo definire “di controllo”, si aggiunge inoltre un ulteriore diritto, non autonomamente esercitabile, che è quello dell'essere informato nel caso in cui una violazione dei dati personali abbia coinvolto gravemente i dati personali.

Proprio (ma non solo) da quest'ultimo avvenimento (data breach) l'individuo potrebbe vedere lesi i propri diritti e quindi aver subito un ingiusto danno, idoneo a far nascere un'obbligazione risarcitoria.

Il diritto al risarcimento del danno è trattato in modo preciso dall'art. 82 GDPR, nel quale si stabilisce che il danno risarcibile possa essere di natura sia materiale che immateriale. L'articolo in commento intende garantire un effettivo rimedio risarcitorio mediante una soluzione chiara volta a determinare le responsabilità patrimoniali degli operatori anche nei loro rapporti interni.

Ciò consente all'individuo di poter agire per ottenere il risarcimento del danno patito in virtù di una eventuale violazione della confidenzialità. È fondamentale però che tale danno sia effettivo, in quanto non sussiste un automatismo tra violazione di sicurezza (tra le quali vi è anche la perdita di confidenzialità) e il danno stesso.

Su punto sono da condividere le conclusioni dell'Avvocato Generale della Corte dell'Unione Europea, Giovanni Pitruzzella, nella causa C-340/21, riguardante proprio la responsabilità del titolare del trattamento in un caso di violazione dei dati personali per accesso illecito da parte di terzi (perdita di confidenzialità). In tale occasione l'Avvocato ha rilevato che:

• il verificarsi di una “violazione dei dati personali” non è di per sé sufficiente per concludere che le misure tecniche e organizzative attuate dal responsabile del trattamento non erano “adeguate” a garantire la protezione dei dati;
• nel verificare l'adeguatezza delle misure attuate dal titolare, il giudice nazionale deve procedere ad un'analisi concreta di tali misure sulla base dei principi sanciti dal Regolamento;
• spetta al titolare del trattamento dimostrare di aver predisposto delle misure adeguate alla tutela della protezione dei dati personali;
• una violazione di dati personali causata da un soggetto terzo non esonera di per sé il titolare del trattamento dalla responsabilità, salvo che lo stesso dimostri, con un livello di prova molto elevato, che l'evento dannoso non gli è in alcun modo imputabile;
• il pregiudizio consistente nel timore di un potenziale futuro uso improprio di dati personali può costituire danno morale e quindi essere oggetto di risarcimento a condizione che l'interessato dimostri che si tratti di un rischio reale e concreto e non di un semplice disagio o fastidio dell'interessato i cui dati sono stati esfiltrati.

Sull'ultimo punto si rileva in senso conforme anche la sentenza della Cassazione (Cass. n. 16402/2021), laddove si è ritenuto che una violazione delle prescrizioni in materia di dati personali non determini necessariamente una lesione ingiustificabile del diritto. La Cassazione richiede appunto un accertamento preciso rispetto alla gravità della lesione e alla serietà del danno.

Quello esposto è una rappresentazione del principio di bilanciamento dell'onere della prova, ancorché aggravato per l'operatore, al quale spetta l'onere di provare di aver fatto ogni sforzo possibile (nei parametri di cui all'art. 32 GDPR) per evitare la violazione e dunque il conseguente danno all'individuo. Chiara l'analogia nel contesto italiano all'art. 2050 c.c., già richiamato nella previgente disciplina del Codice Privacy (art. 15 ora abrogato).

In conclusione

fiduciario che gli individui ripongono in chi tratta i loro dati. Tale rapporto fiduciario, alla base degli obiettivi della Commissione Europea, è anche alla base di molti altri obblighi e principi dei quali sono onerati titolari e responsabili del trattamento.

La confidenzialità si inserisce in particolar modo nel contesto della sicurezza del trattamento, quale parametro fondamentale per valutare i presidi più idonei dal punto di vista tecnico e organizzativo.

La sicurezza del dato, quale diretta discendente dei principi contenuti nell’art. 5, svolge quindi un ruolo centrale e deve determinare il comportamento stesso degli operatori. Allo stesso modo, la confidenzialità, al pari degli altri principi, pur se presidiata da prescrizioni a sua garanzia, nell’eventualità in cui dovesse venir meno, non comporta automaticamente una risarcibilità del danno, dovendosi necessariamente svolgere una valutazione attenta rispetto alla responsabilità effettiva degli operatori coinvolti nel trattamento e alla gravità e serietà della lesione prodotta dalla violazione di sicurezza. In ogni caso, le prescrizioni dell’art. 82 sono comunque un importante strumento di tutela per l’interessato, ma anche i per i rapporti fra gli operatori stessi che adottano idonei presidi di sicurezza tecnici e organizzativi.