Fra le nuove discipline introdotte dal GDPR, quella sulla violazione dei dati personali (Data Breach) è apparentemente una delle meno controverse. A differenza della pratica della DPIA o della figura del DPO, sulle quali sono fiorite ampie discussioni, sul Data Breach sembra tutto chiaro. Infatti non risultano tracce di dibattito. Persino le Linee Guida WP250 (adottate dal WP29 il 3/10/17) chiariscono e dettagliano ma aggiungono poco.
Ma vediamo se è proprio tutto così scontato. Partiamo da come viene normalmente chiamata questa materia: “Notifica del data breach”. Corretto: infatti l’art.33 del GDPR si chiama appunto “Notifica di una violazione dei dati personali all’autorità di controllo”. E il contenuto dell’articolo stesso, sin dal primo comma, di questo tratta: obbligo per il Titolare di notifica al Garante, obbligo per il Responsabile di informare il Titolare, contenuto della notifica, modalità di fornitura delle informazioni, documentazione delle violazioni. Poi c’è il 34, relativo alla comunicazione delle violazioni agli interessati. Nessuna prescrizione su misure tecniche e/o organizzative da adottare per prevenire, individuare o gestire le violazioni.
Non dimentichiamoci tuttavia che lo spirito dell’intero Regolamento è quello di esporre i principi, lasciando al Titolare la scelta delle modalità da adottare per rispettare i principi. Vogliamo quindi supporre che il legislatore abbia inteso dire qualcosa tipo “non c’è bisogno di fare nulla per prevenire o contrastare le violazioni, basta che quando accadono mi mandi la notifica”? Evidentemente no, anche perché gli artt. 33 e 34 (nell’ambito della Sezione 2 del GDPR, dedicata alla Sicurezza dei dati personali) sono preceduti dal 32, che prescrive al Titolare (ed al Responsabile) di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Teniamo inoltre in considerazione il contesto nel quale il Titolare si troverà a dover predisporre ed inviare la famosa notifica al garante. Si tratta certamente di un contesto di crisi, per due diversi motivi:
1) se c’è stata una violazione della sicurezza, bisogna agire con tempestività;
2) il GDPR prescrive tempi strettissimi (72 ore) per l’invio della notifica.
In questa situazione il Titolare ha di fronte due possibilità: affrontare la questione solo nel momento in cui si verifica, improvvisando sul momento prassi e responsabilità, oppure predisporre ruoli e procedure.
Comprenderete allora perché sia opportuno adottare preventivamente alcune misure. Vediamo quali:
Ambito | Descrizione |
Ruoli e Responsabilità |
|
Misure Organizzative |
|
Prevenzione delle Violazioni |
|
Prevenzione delle conseguenze |
|
Rilevazione delle Violazioni |
Fra le misure organizzative da prevedere in procedura, particolare rilevanza assume la Classificazione dei Rischi; si tratta di una distinzione niente affatto accademica, che ha invece conseguenze concrete ai fini della getione della violazione (e relativa notifica).
Rischio ASSENTE: la notifica al Garante non è obbligatoria solo nei casi in cui è possibile comprovare la totale mancanza di rischi.
Rischio PRESENTE: in presenza di rischi per gli interessati, è necessaria la notifica al Garante.
Principali rischi per i diritti e le libertà degli Interessati conseguenti una violazione:
- danni fisici, materiali o immateriali alle persone fisiche;
- perdita del controllo dei dati personali;
- limitazione dei diritti, discriminazione;
- furto o usurpazione d’identità;
- perdite finanziarie, danno economico o sociale.
- decifratura non autorizzata della pseudonimizzazione;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari).
Rischio ELEVATO: In presenza di rischi “elevati”, è necessaria la comunicazione agli interessati. Nel momento in cui il titolare del trattamento adotta sistemi di crittografia dei dati, e la violazione non comporta l’acquisizione della chiave di decrittografia, la comunicazione ai soggetti interessati non sarà un obbligo. I rischi per i diritti e le libertà degli interessati possono essere considerati “elevati” quando la violazione può, a titolo di esempio:
- coinvolgere un rilevante quantitativo di dati personali e/o di soggetti interessati;
- riguardare categorie particolari di dati personali;
- comprendere dati che possono accrescere ulteriormente i potenziali rischi (es. dati di localizzazione, finanziari, relativi alle abitudini e preferenze);
- comportare rischi imminenti e con un’elevata probabilità di accadimento (es. rischio di perdita finanziaria in caso di furto di dati relativi a carte di credito);
- impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (es. pazienti, minori, soggetti indagati).
Risulta evidente che nel frangente di una violazione, poter ricorrere ad una preventiva classificazione del rischio relativo ad ogni trattamento sarà di grande aiuto per prendere le decisioni corrette nei tempi prescritti. La classificazione potrà essere opportunamente integrata nel Registro dei Trattamenti.
Vediamo come attrezzarsi per la gestione dell’evento, al momento del suo verificarsi. Il flusso di attività da seguire in caso di violazione ai dati può essere suddiviso in 5 fasi:
- Rilevazione della violazione
- Gestione e Valutazione della violazione
- Notifica al Garante
- (eventuali) Comunicazioni agli Interessati
- Registrazione delle violazioni
Come vedete anche dal diagramma, la famosa “notifica” non è che uno dei passi da compiere, che non può tuttavia prescindere dai passi precedenti e successivi. E la possibilità di rispettare la tempistica rigorosa prevista dal GDPR per lo step che qui abbiamo chiamato 3B dipende strettamente dalla tempestività con cui sarà possibile completare le fasi 2B e 3A; il che ancora una volta dipende dalla disponibilità di una procedura ed altre misure preventive (inclusa la formazione).