L’articolo 33, paragrafo 1, chiarisce che se è “improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” tale violazione non è soggetta a notifica all’autorità di controllo. Un esempio potrebbe essere quello di dati personali già disponibili pubblicamente, la cui divulgazione non costituirebbe un rischio probabile per la persona fisica. Questa esenzione dalla notifica è in contrasto con gli attuali obblighi di notifica delle violazioni imposti ai fornitori di servizi di comunicazione elettronica accessibili al pubblico di cui alla direttiva 2009/136/CE, che stabilisce che tutte le violazioni rilevanti devono essere notificate all’autorità
competente.
Nel parere 03/2014 sulla notifica delle violazioni34, il Gruppo di lavoro ha spiegato che una violazione della riservatezza di dati personali crittografati con un algoritmo all’avanguardia costituisce in ogni caso una violazione dei dati personali e deve essere notificata. Se però la riservatezza della chiave rimane intatta (ossia se la chiave non è stata compromessa nell’ambito di una violazione della sicurezza ed è stata generata in maniera tale da non poter essere individuata con i mezzi tecnici disponibili da qualcuno che non è autorizzato ad accedervi), in linea di principio i dati risultano incomprensibili. Di conseguenza è improbabile che la violazione possa influire negativamente sulle persone fisiche e quindi non dovrebbe essere loro comunicata35. Tuttavia, anche se i dati sono crittografati, una perdita o alterazione può avere effetti negativi per gli interessati ove il responsabile del trattamento non disponga delle necessarie copie di riserva. In tal caso, la notifica agli interessati dovrebbe essere necessaria anche se sono state adottate misure di protezione mediante crittografia.
Il Gruppo di lavoro ha altresì spiegato che lo stesso ragionamento si applica anche nel caso in cui dati personali, quali password, siano stati codificati in modo sicuro con un hash e un salt, il valore hash sia stato calcolato con una funzione di hash con chiave crittografica all’avanguardia, la chiave utilizzata per l’hashing dei dati non sia stata compromessa nell’ambito di una violazione della sicurezza e sia stata generata in maniera tale da non poter essere individuata con i mezzi tecnologici a disposizione di qualcuno che non è autorizzato ad accedervi.
Di conseguenza, se i dati personali sono stati resi sostanzialmente incomprensibili ai soggetti non autorizzati e se esiste una copia o un backup, una violazione della riservatezza che coinvolga dati personali correttamente crittografati potrebbe non dover essere notificata all’autorità di controllo, poiché è improbabile che tale violazione possa presentare un rischio per i diritti e le libertà delle persone fisiche. Di conseguenza potrebbe non essere necessario nemmeno informare la persona interessata, dato che è improbabile che vi siano rischi elevati. Tuttavia, si dovrebbe tenere presente che, sebbene inizialmente la notifica possa non essere richiesta se non esiste un rischio probabile per i diritti e le libertà delle persone fisiche, la situazione può cambiare nel corso del tempo e il rischio dovrebbe essere rivalutato. Ad esempio, se la chiave risulta successivamente essere stata compromessa o essere stata esposta a una vulnerabilità nel software di cifratura, è possibile che sia ancora necessario procedere alla notifica.
Inoltre, va osservato che se si verifica una violazione in assenza di backup dei dati personali crittografati si è in presenza di una violazione della disponibilità che potrebbe presentare rischi per le persone fisiche e pertanto potrebbe richiedere la notifica. Analogamente, laddove si verifichi una violazione che implichi la perdita di dati crittografati, anche se esiste una copia di backup dei dati personali si potrebbe comunque trattare di una violazione soggetta a segnalazione, a seconda del periodo di tempo necessario per ripristinare i dati dal backup e dell’effetto che la mancanza di disponibilità ha sulle persone fisiche. Come afferma l’articolo 32, paragrafo 1, lettera c), un importante fattore di sicurezza è “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.
Esempio
Una violazione che non richiederebbe la notifica all’autorità di controllo sarebbe la perdita di un dispositivo mobile crittografato in maniera sicura, utilizzato dal titolare del trattamento e dal suo personale. Se la chiave di cifratura rimane in possesso del titolare del trattamento e non si tratta dell’unica copia dei dati personali, questi ultimi sarebbero inaccessibili a qualsiasi pirata informatico. Ciò significa che è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati in questione. Se in seguito diventa evidente che la chiave di cifratura è stata compromessa o che il software o l’algoritmo di cifratura è vulnerabile, il rischio per i diritti e le libertà delle persone fisiche cambia e potrebbe quindi essere necessaria la notifica.
Tuttavia, si avrà mancato rispetto dell’articolo 33 se il titolare del trattamento non effettua la notifica all’autorità di controllo nel caso in cui i dati non siano stati effettivamente crittografati in maniera sicura. Di conseguenza, nel selezionare il software di cifratura, il titolare del trattamento deve valutare attentamente la qualità e la corretta attuazione della cifratura offerta, capire il livello di protezione effettivamente offerto e se quest’ultimo è appropriato in ragione dei rischi presentati. Il titolare del trattamento dovrebbe altresì avere familiarità con le specifiche modalità di funzionamento del prodotto di cifratura. Ad esempio, un dispositivo può essere crittografato una volta spento, ma non mentre è in modalità stand-by. Alcuni prodotti che utilizzano la cifratura dispongono di “chiavi predefinite” che devono essere modificate da ciascun cliente per essere efficaci. La cifratura potrebbe essere considerata adeguata dagli esperti di sicurezza al momento della sua messa in atto, ma diventare obsoleta nel giro di pochi anni, il che significa che può essere messo in discussione il fatto che i dati siano sufficientemente crittografati dal prodotto in questione e che quest’ultimo fornisca un livello appropriato di protezione.
