Tutti sanno ormai cos’è un data breach e come gestire una violazione di dati personali. Poco si parla, invece, di cosa fare prima che accada un data breach e quindi per prevenire una possibile violazione.
La gestione delle violazioni di dati personali, a rigore, non costituisce una novità assoluta introdotta dal GDPR. Nella normativa previgente (art. 32 bis del Codice Privacy, Regolamento UE 611/13 e diversi Provvedimenti del Garante) qualche prescrizione era già presente per settori specifici: società telefoniche e internet provider, dossier sanitari elettronici, dati biometrici, amministrazioni pubbliche (nel caso di impatto significativo) e banche (per casi di particolare rilevanza).
Forse per questo motivo all’entrata in vigore del GDPR non è fiorito su questo tema un dibattito particolarmente vivace, a differenza di quanto avvenuto a riguardo di altri istituti innovativi quali la pratica della DPIA o la figura del DPO.
Persino le Linee Guida WP250 (adottate dal WP29 il 3/10/17) chiariscono e dettagliano ma aggiungono poco.
Ma vediamo se è proprio tutto così scontato.
Partiamo da come questa materia viene normalmente definita: “Notifica del data breach”. Infatti, l’art.33 del GDPR è appunto rubricato come “Notifica di una violazione dei dati personali all’autorità di controllo”. E il contenuto dell’articolo stesso, sin dal primo paragrafo, proprio a questo si riferisce: obbligo per il titolare di notifica al Garante, obbligo per il responsabile di informare il titolare, contenuto della notifica, modalità di fornitura delle informazioni, documentazione delle violazioni.
Poi c’è l’art.34, relativo alla comunicazione delle violazioni agli interessati.
Nessuna prescrizione in questi due articoli su misure da adottare per prevenire, individuare o gestire le violazioni.
Teniamo tuttavia presente che gli artt. 33 e 34 (nell’ambito della Sezione 2 del GDPR, dedicata alla Sicurezza dei dati personali) sono preceduti dal 32, che prescrive al titolare (e al responsabile) di mettere in atto “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”. Appare quindi evidente che la Sezione 2 vada letta nel suo insieme, e che ne discenda la necessità di adottare misure adeguate prima del verificarsi del data breach.
Non dimentichiamoci, infine, che lo spirito dell’intero Regolamento è quello di esporre i principi, lasciando al titolare la scelta delle modalità da adottare per rispettare i principi. Vogliamo quindi supporre che il legislatore abbia inteso dire qualcosa tipo “non c’è bisogno di fare nulla per prevenire o contrastare le violazioni, basta che quando accadono mi mandi la notifica”? Evidentemente no.
Indice degli argomenti
Misure preventive per scongiurare un data breach
Consideriamo, inoltre, il contesto nel quale ci si trova a dover predisporre ed inviare la famosa notifica al garante. Si tratta certamente di un contesto di crisi, per due diversi motivi:
- se c’è stata una violazione della sicurezza, bisogna agire con tempestività;
- il GDPR prescrive tempi strettissimi (72 ore) per l’invio della notifica.
In questa situazione il titolare ha di fronte due possibilità: affrontare la questione solo nel momento in cui si verifica, improvvisando sul momento prassi e responsabilità, oppure predisporre ruoli e procedure.
Comprenderete allora perché sia opportuno adottare preventivamente alcune misure. Vediamo quali:
Ambito | Descrizione della misura |
Ruoli e responsabilità |
|
Misure organizzative |
|
Prevenzione delle violazioni | In aggiunta ai sistemi di sicurezza già presenti, valutare l’adozione di sistemi atti a prevenire le violazioni. |
Rilevazione delle violazioni | Definire gli eventi scatenanti la segnalazione di una violazione e adottare strumenti atti a rilevarli |
Prevenzione delle conseguenze | Valutare l’adozione di sistemi atti a prevenire rischi per i diritti degli interessati (ad esempio, la crittografia). |
Classificazione dei rischi
Fra le misure organizzative da prevedere in procedura, particolare rilevanza assume la classificazione preventiva dei rischi. Si tratta di una distinzione niente affatto accademica, che ha invece conseguenze concrete ai fini della gestione della violazione (e relativa notifica):
- rischio assente: la notifica al Garante non è obbligatoria solo nei casi in cui è possibile comprovare la totale mancanza di rischi;
- rischio presente: in presenza di rischi per gli interessati, è necessaria la notifica al Garante. Principali rischi per diritti e libertà degli Interessati conseguenti ad una violazione:
- danni fisici, materiali o immateriali alle persone fisiche;
- perdita del controllo dei dati personali;
- limitazione dei diritti, discriminazione;
- furto o usurpazione d’identità;
- perdite finanziarie, danno economico o sociale;
- decifratura non autorizzata della pseudonimizzazione;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari).
- rischio elevato: in presenza di rischi “elevati”, è necessaria anche la comunicazione agli interessati. I rischi per i diritti e le libertà degli interessati possono essere considerati “elevati” quando la violazione può, a titolo di esempio:
- coinvolgere un rilevante quantitativo di dati personali e/o di soggetti interessati;
- riguardare categorie particolari di dati personali;
- comprendere dati che possono accrescere ulteriormente i potenziali rischi (ad esempio, dati di localizzazione, finanziari, relativi alle abitudini e preferenze);
- comportare rischi imminenti e con un’elevata probabilità di accadimento (ad esempio, rischio di perdita finanziaria in caso di furto di dati relativi a carte di credito);
- impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (ad esempio, pazienti, minori, soggetti indagati).
Risulta quindi evidente che, nel frangente di una violazione, poter ricorrere ad una preventiva classificazione del rischio relativo sarà di grande aiuto per prendere le decisioni corrette nei tempi prescritti.
Resta tuttavia inteso che ciò non esaurisce le analisi da condurre al momento in cui si verifica la violazione, che dovranno tenere conto anche di elementi di contesto, ovviamente non preventivabili.
La stessa classificazione potrà anche essere opportunamente integrata nel registro dei trattamenti, all’interno del quale già saranno presenti alcuni dati obbligatori secondo l’art. 30 del GDPR, quali le categorie di dati particolari, il tipo di interessati, la presenza di dati di minori ecc.
Vero è che, a rigore, l’eventuale violazione non riguarderà i trattamenti ma i dati e gli asset (cartacei o digitali) che li contengono; tuttavia, considerando il registro dei trattamenti il documento base su cui poggia l’intero apparato gestionale della data protection (analisi dei rischi, misure di sicurezza, nomine dei responsabili esterni, informative e consensi ecc.) appare conveniente rapportare anche questa classificazione al registro stesso.
