Il Data breach, ovvero la violazione dei dati

L’obiettivo definitivo del Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, è quello d’impedire la « violazione dei dati personali ».

L’articolo 4 del GDPR, definisce tale evento come « la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati ».

La comunicazione della violazione dei dati all’Autorità

In caso di evento negativo, l’articolo 33 del GDPR prevede che « il titolare del trattamento notifica la violazione all’Autorità di controllo […] senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza ».

Unica eccezione a questa prescrizione : quando « sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche ».

Naturalmente se la violazione è avvenuta in relazione ai dati trattati dal responsabile del trattamento, questi ne da notizia immediatamente al titolare, « senza ingiustificato ritardo dopo essere venuto a conoscenza », affinché quest’ultimo possa informarne l’Autorità di controllo.

Oltre alla notizia della violazione dei dati vera e propria, nella comunicazione all’Autorità, « il titolare del trattamento documenta […] le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio ».

La comunicazione della violazione dei dati agli interessati

Contemporaneamente, il titolare del trattamento dei dati personali è tenuto a comunicare « la violazione all’interessato senza ingiustificato ritardo ».

Anche in tal caso sono previste delle deroghe :

• quando, precedentemente alla violazione, i dati personali erano stati resi « incomprensibili » (es.: con la « cifratura » );
• oppure quando il titolare del trattamento ha, successivamente alla violazione, « adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati »;
• infine quando la « comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica ».

Occorre istituire il “Registro interno delle violazioni”

In conclusione, il titolare del trattamento deve prevedere delle procedure per:

• il monitoraggio dei trattamenti e la individuazione delle violazioni dei dati;
• indagare sulle circostanze;
• stendere sempre dei report di tali eventi, indicando gli effetti e i rimedi adottati;
• solo nei casi previsti, provvedere alla notifica all’Autorità e agli interessati.

A tal fine, la guida redatta dall’apposito gruppo di lavoro incoraggia l’istituzione di un « registro interno delle violazioni » [1]. In tale documento, « se una violazione non viene notificata, dovrebbe essere documentata una giustificazione per tale decisione ».

« Per dimostrare la conformità con il GDPR – spiega ancora la guida -, potrebbe anche essere utile dimostrare che i dipendenti sono stati informati dell’esistenza di tali procedure e meccanismi, e che sanno come reagire alle violazioni ».

In ogni caso, per le violazioni dei dati il Responsabile per la protezione dei dati svolgerà un ruolo importante tanto « al momento della notifica di una violazione » quanto « durante qualsiasi successiva indagine da parte dell’Autorità di controllo ».

La mancata “accountability” di tali misure rischia di far soggiacere il titolare del trattamento a sanzioni « effettive, proporzionate e dissuasive ».

–

Fonti e Note:

Credits: Photo by Basil James on Unsplash

[1] WP250, 3 ottobre 2017, scarica le WP250 - Guidelines on Personal data breach notification under Regulation 2016/679 (PDF, EN)