Il furto di identità è un argomento di assoluta attualità e rilevanza nelle tematiche afferenti la data protection, soprattutto nei contesti digitali e nella gestione degli adempimenti del GDPR. Lo si ritrova come rischio ricorrente tanto nell’analisi e predisposizione delle misure di sicurezza quanto nelle procedure per la gestione di un data breach. Non solo: è anche un argomento che deve rientrare nelle politiche di formazione e sensibilizzazione riguardanti gli operatori, nonché nelle informazioni da rendere all’interessato al fine di consentirgli di avere consapevolezza circa la sua esposizione a specifici pericoli.
Per avere contezza della portata del concetto di furto di identità, ovviamente bisogna innanzitutto comprendere che cosa sia l’identità che può trovare la propria definizione attraverso i dati personali. L’identità (digitale e non) può essere definita come un insieme di informazioni che fanno riferimento a caratteristiche e manifestazioni di una persona, andandone ad esprimere una proiezione esterna. Sebbene non tutti i dati personali hanno lo stesso valore o impatto per capacità di identificazione o sensibilità, nel loro insieme concorrono alla definizione – totale o parziale – della persona in quanto tale. Questo è il motivo per cui nella protezione dei diritti e delle libertà fondamentali è contemplata anche la tutela di quell’identità personale che peraltro l’ordinamento italiano richiama all’interno del catalogo dei diritti inviolabili richiamati dall’art. 2 della Costituzione.
Tant’è che il codice penale contempla non solo il reato di sostituzione di persona (art. 494 c.p.) ma anche un’aggravante specifica per il reato di frode informatica (art. 640-ter c.p.) nel caso in cui la condotta si realizzi mediante furto o indebito utilizzo dell’identità digitale.
Il GDPR richiama espressamente attraverso alcuni considerando il furto o l’usurpazione di identità. Infatti, il dato personale può essere sottratto dalla sfera di dominio dell’interessato e conseguentemente impiegato in modo non autorizzato al fine di realizzare successive attività fraudolente.
Furto o usurpazione di identità: rischio e danno secondo il GDPR.
Nel momento in cui si deve svolgere un’analisi dei rischi, il GDPR richiama l’esigenza di considerare specificamente anche le ipotesi di furto o usurpazione d’identità come rischio intrinseco da dover analizzare ai fini della predisposizione delle misure tecniche e organizzative.
I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; […] ( Considerando n. 75 GDPR )
La correlazione con la qualità e volume dei dati è evidente, ma è importante svolgere almeno due considerazioni entrambe rilevanti per valutare l’appetibilità del database. Il numero di interessati è un fattore da considerare per valutare la probabilità, nella sua sottocategoria di opportunità, che un attore malevolo realizzi la sottrazione dei dati. Mentre per quanto riguarda l’impatto sui singoli interessati, e dunque la magnitudo del rischio realizzato, è opportuno comprendere sia la presenza di informazioni che la loro possibilità di correlazione con eventuali altre reperibili anche da fonti pubbliche.
Avere considerazione e valutare in concreto tutti questi aspetti è altresì indispensabile nel momento in cui si realizza un danno, ai fini del computo delle conseguenze risarcitorie a riguardo.
Data breach e furto di identità.
Nel momento in cui si affronta la tematica della violazione dei dati personali, il furto di identità rientra fra le conseguenze probabili che devono essere indicate tanto all’interno della notifica all’autorità di controllo quanto nella comunicazione nei confronti degli interessati. Conseguenze che però devono sempre essere riferite in concreto, altrimenti andrebbero a svilire lo scopo sostanziale di tali adempimenti.
Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. […] ( Considerando n. 82 GDPR )
Lo stesso considerando n. 82 infatti evidenzia infatti che la funzione di una procedura di data breach è quella affrontare correttamente l’evento di violazione. Il che comporta provvedere al contenimento o alla mitigazione del rischio emergente nei confronti delle persone fisiche. E dunque occorre che tale rischio venga attentamente individuato e valutato, senza ricorso a formule generiche né di stile ma, per quanto possibile, svolgendo un giudizio prognostico preventivo.
Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d’identità o altre forme di abuso. ( Considerando n. 88 GDPR )
Infatti, l’esigenza di tenere conto delle circostanze della violazione altro non è che avere contezza dell’accaduto e dei pericoli, al fine di predisporre efficaci misure di mitigazione. Le quali, parimenti alla valutazione dell’evento, rientrano nell’obbligo di rendicontazione in forza del principio di accountability.
