Integrità e riservatezza
Integritàmodificaremodifica fonte
Un interessato può essere danneggiato non solo dal trattamento illecito dei suoi dati personali, ma anche dalla perdita di tali dati.
Ad esempio, se un ospedale perde i dati personali di un paziente, potrebbe ricevere un trattamento errato.
Il titolare del trattamento deve garantire che i dati personali non vengano cancellati o alterati ingiustamente. Le minacce all’integrità dei dati personali possono provenire dall’interno del titolare del trattamento, da terzi o da un incidente.
Riservatezzamodificaremodifica fonte
La riservatezza mira a proteggere i dati da accessi non autorizzati e da trattamenti non autorizzati.
Il titolare del trattamento deve pertanto attuare anche misure tecniche e organizzative per garantire che i dati personali non vengano divulgati falsamente, violati o persi.
Ciò include che le persone non autorizzate non hanno accesso né ai dati né ai dispositivi su cui vengono trattati
Art. 5 GDPR
I dati personali sono:
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
L’art. 5, par. 1, lett. f) impone di trattare i dati in maniera da garantire una loro adeguata sicurezza, compresa la protezione – mediante misure tecniche e organizzative adeguate – da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o dal danno accidentale.
Il considerando 39
I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.
Il C39 stabilisce che i dati devono essere trattati in modo da garantire un adeguato livello di sicurezza e riservatezza. Questo include la prevenzione di accessi non autorizzati o utilizzi impropri dei dati e delle attrezzature utilizzate per il trattamento. Inoltre, viene esteso il concetto di sicurezza non solo ai dati stessi, ma anche ai sistemi che li ospitano.
L’approccio basato sul rischio a carico del Titolare
Si esprime attraverso questo principio, e si articola poi in precetti puntuali, l’approccio basato sul rischio su cui si fonda il GDPR
Ciò che differenzia principalmente il GDPR dalla direttiva 95/46/CE è la qualificazione dell’obbligo di adottare misure di sicurezza “appropriate” non solo come un semplice dovere a sé stante a cui il titolare era comunque tenuto ai sensi dell’art. 17 della direttiva, ma come un vero e proprio principio generale del trattamento.
Si passa dalla previsione obbligatoria dell’adozione di misure minime di sicurezza, che erano soggette a sanzioni sia penali che amministrative per la loro omissione nel Codice della privacy, alla comprensione dell’obbligo di adottare misure “adeguate” che devono essere modulate in base alle specifiche del caso concreto.
Questo obbligo rientra nell’obiettivo più ampio di responsabilizzare il titolare (e il responsabile, almeno in parte).
Non è tanto il rispetto formale dell’obbligo legale o di una misura specifica che esonera il titolare da responsabilità, ma piuttosto l’adozione di una strategia aziendale completa e in linea con la disciplina sulla protezione dei dati.
Le misure previste dall’art. arl. 5 gdpr
sono tanto
di natura tecnica (in particolare: pseudonimizzazione, privacy by design e by default, cifratura, codici di condotta, certificazioni) quanto
organizzativa (autorizzazioni per l’accesso selettivo ai dati, separazione funzionale delle informazioni necessarie per la re-identificazione in caso di pseudonimizzazione, ecc.) e implicano anche adempimenti di particolare rilievo quali, ad esempio, la valutazione d’impatto privacy.
L’adeguatezza delle misure di sicurezza adottate dipende principalmente dalla tipologia di dati e trattamenti che si desidera effettuare.
La legge prevede già la valutazione d’impatto, ad esempio, per i trattamenti che presentano rischi specifici per i diritti e le libertà degli interessati.
In caso di persistenza di tali rischi nonostante l’adozione di adeguate garanzie, è necessaria la consultazione preventiva dell’Autorità di controllo al fine di minimizzare l’impatto del trattamento sulla sfera privata degli individui.
Il considerando n. 83
(83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura.
Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.
Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.
Il provvedimento sulla videosorveglianza contro l’abbandono dei rifiuti
Per un caso significativo di violazione del principio in esame cfr., in particolare, il provvedimento sanzionatorio 22.7.2021, n. 294 – Videosorveglianza contro gli abbandoni di rifiuti e i conferimenti indifferenziati al servizio di igiene urbana
Il Garante della privacy ha sanzionato un Comune per il trattamento illecito dei dati personali tramite dispositivi di videosorveglianza.
Il Comune è stato multato per non aver fornito un’adeguata informativa sui dati personali, per non aver agito in conformità ai principi di protezione dei dati e per non aver definito tempestivamente i rapporti con le imprese incaricate del trattamento dei dati. I
noltre, il Comune ha provveduto in ritardo alla designazione del Responsabile della Protezione dei dati personali (R.P.D.) e alla pubblicazione dei dati di contatto relativi allo stesso.
La sanzione amministrativa pecuniaria ammonta a 45.000 euro.
secondo il Garante
“pur in presenza di un presupposto giuridico, ad ogni modo, il titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza”, “limitazione della conservazione” e “integrità e riservatezza” in base ai quali i dati sono “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” e “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati”
Il provvedimento contro l’invio di mail ad una molteplicità di destinatari
Un altro caso di violazione dei principi di integrità e riservatezza è quello accertato dall’Autorità spagnola per la protezione dei dati, con il provv. n. EXP202102433, per il tramite del quale una società, responsabile del trattamento dei dati, è stata sanzionata per aver inviato un’e-mail ad un elenco di destinatari senza l’utilizzo della funzione di copia nascosta.
L’Autorità ha sottolineato la necessità in caso di invio a più destinatari della medesima comunicazione di inoltrare l’e-mail a ciascun destinatario, in modo personalizzato, oppure utilizzare la copia conoscenza nascosta.
Peraltro, l’Autorità ha ribadito che il rispetto del dovere di riservatezza deve essere rispettato non solo dai titolari del trattamento e dai suoi incaricati, ma altresì da tutti i soggetti che intervengono nelle fasi che compongono il processo del trattamento dei dati.
