Fra le nuove discipline introdotte dal GDPR, quella sulla violazione dei dati personali (Data Breach)\u00a0\u00e8\u00a0apparentemente una delle meno controverse. A differenza della pratica della DPIA o della figura del DPO, sulle quali sono fiorite ampie discussioni, sul Data Breach sembra tutto chiaro. Infatti non risultano tracce di dibattito. Persino le Linee Guida WP250<\/a>\u00a0 (adottate dal WP29 il 3\/10\/17) chiariscono e dettagliano ma aggiungono poco.<\/p>\n Ma vediamo se \u00e8 proprio tutto cos\u00ec scontato. Partiamo da come viene normalmente chiamata questa materia: “Notifica del data breach”. Corretto: infatti l’art.33 del GDPR si chiama appunto “Notifica di una violazione dei dati personali all’autorit\u00e0 di controllo”. E il contenuto dell’articolo stesso, sin dal primo comma, di questo tratta: obbligo per il Titolare di notifica al Garante, obbligo per il Responsabile di informare il Titolare, contenuto della notifica, modalit\u00e0 di fornitura delle informazioni, documentazione delle violazioni. Poi c’\u00e8 il 34, relativo alla comunicazione delle violazioni agli interessati.\u00a0Nessuna prescrizione su misure tecniche e\/o organizzative da adottare per prevenire, individuare o gestire le violazioni.<\/p>\n Non dimentichiamoci tuttavia che lo spirito dell’intero Regolamento \u00e8 quello di esporre i principi, lasciando al Titolare la scelta delle modalit\u00e0 da adottare per rispettare i principi. Vogliamo quindi supporre che il legislatore abbia inteso dire qualcosa tipo “non c’\u00e8 bisogno di fare nulla per prevenire o contrastare le violazioni, basta che quando accadono mi mandi la notifica”? Evidentemente no, anche perch\u00e9 gli artt. 33 e 34 (nell’ambito della Sezione 2 del GDPR, dedicata alla Sicurezza dei dati personali) sono preceduti dal 32, che prescrive al Titolare (ed al Responsabile) di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.<\/p>\n Teniamo inoltre in considerazione il contesto nel quale il Titolare si trover\u00e0 a dover predisporre ed inviare la famosa notifica al garante. Si tratta certamente di un contesto di crisi, per due diversi motivi:<\/p>\n 1) se c’\u00e8 stata una violazione della sicurezza, bisogna agire con tempestivit\u00e0;<\/p>\n 2) il GDPR prescrive tempi strettissimi (72 ore) per l’invio della notifica.<\/p>\n In questa situazione il Titolare ha di fronte due possibilit\u00e0: affrontare la questione solo nel momento in cui si verifica, improvvisando sul momento prassi e responsabilit\u00e0, oppure predisporre ruoli e procedure.<\/p>\n Comprenderete allora perch\u00e9 sia opportuno adottare preventivamente alcune misure.\u00a0Vediamo quali:<\/p>\n
![](\"https:\/\/sites.google.com\/a\/privacymilano.it\/paolo-calvi---privacy-milano\/_\/rsrc\/1510594514590\/news\/databreachnonsolonotifica\/flusso%20dbreach.jpg\")
Come vedete anche dal diagramma, la famosa “notifica” non \u00e8 che uno dei passi da compiere, che non pu\u00f2 tuttavia prescindere dai passi precedenti e successivi. E la possibilit\u00e0 di rispettare la tempistica rigorosa prevista dal GDPR per lo step che qui abbiamo chiamato 3B dipende strettamente dalla tempestivit\u00e0 con cui sar\u00e0 possibile completare le fasi 2B e 3A; il che ancora una volta dipende dalla disponibilit\u00e0 di una procedura ed altre misure preventive (inclusa la formazione).<\/p>\n<\/div>\n<\/div>\n