la guida

Registro data breach, come si fa: vademecum per aziende



Indirizzo copiato

Il principio di responsabilizzazione previsto in capo al titolare del trattamento dal GDPR coinvolge anche il tema del data breach, per il quale appare opportuna la tenuta di un apposito registro: analizziamone struttura e finalità

Pubblicato il 5 feb 2024

Lorenzo Giannini

Consulente legale privacy e DPO



dpo formazione

Accountability e responsabilizzazione rappresentano due principi centrali del GDPR, che richiedono al titolare una costante attività di rendicontazione in merito alla compliance normativa. Non fa eccezione il tema del data breach, ossia delle ipotesi di violazioni di dati personali, che devono essere documentate anche al fine di consentire all’Autorità garante il controllo circa il rispetto della normativa da parte del titolare.

Risulta quindi opportuno tenere un registro del data breach: vediamo quali informazioni deve contenere e come va realizzato.

Perché serve un registro del data breach

L’obbligo di rendicontare – a prescindere dalla loro portata – gli eventi di data breach, è direttamente collegato ai richiamati principi di accountability e di responsabilizzazione e, sebbene al titolare del trattamento sia consentito di determinare il metodo per documentare la violazione, le Linee guida del WP29 sulla notifica del data breach (WP250rev.01) evidenziano come quest’ultimo venga “incoraggiato a creare un registro interno delle violazioni, indipendentemente dal fatto che sia tenuto a effettuare la notifica o meno” (cfr. cap. V, par. A).

Registro data breach, cosa deve contenere

Riguardo alla veste da dare al registro, approfondendo la lettura delle linee guida, la nota 23 di pagina 29 ammette la possibilità di utilizzare eventualmente il registro delle attività di trattamento di cui all’art. 30, comma 1, GDPR, anche al fine di registrare gli eventi di data breach. Non è infatti richiesto necessariamente un registro separato, ferma restando la necessità “che le informazioni rilevanti per la violazione siano chiaramente identificabili come tali e possano essere estratte su richiesta”.

Pertanto, nel “registro data breach” il titolare è tenuto a rendicontare i dettagli relativi alle violazioni, comprese le cause, i fatti e i dati personali coinvolti. Dovrebbe altresì indicare gli effetti e le conseguenze del data breach, nonché i provvedimenti e le contromisure adottate per porvi rimedio.

Oltre a queste informazioni, le Linee guida raccomandano anche di documentare il ragionamento alla base delle decisioni prese in risposta a una violazione. Se, ad esempio, una violazione non viene notificata – secondo quanto previsto ex art. 33 GDPR – all’Autorità Garante, è opportuno documentare la giustificazione posta alla base di tale decisione, includendo i motivi per cui si è ritenuto improbabile che la violazione potesse presentare un rischio per i diritti e le libertà delle persone fisiche o le condizioni per la mancata comunicazione dell’evento agli interessati di cui all’art. 34, comma 3, GDPR.

Registro Data Breach, chi deve gestirlo

Al fine di favorire una costante e corretta tenuta del registro sopra illustrato, appare fondamentale per il titolare la previsione di una specifica procedura interna di data breach, che stabilisca ex ante le modalità da rispettare per la conservazione del registro, il suo esatto contenuto, tempi e metodi circa la sua compilazione, nonché i soggetti eventualmente delegati all’aggiornamento di quello che, a tutti gli effetti, potremmo definire una sorta di “diario di bordo” sulle violazioni aventi a oggetto i dati personali trattati dal titolare.

Proprio in ragione del loro fondamentale ruolo, volto anche a coadiuvare l’attività di rendicontazione del titolare, i soggetti designati al trattamento di cui all’art. 2-quaterdecies del Codice privacy novellato (D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018) devono essere particolarmente sensibilizzati sul tema ed edotti in merito alle sopra richiamate modalità di tenuta del registro.

Tuttavia, a ben vedere, appare opportuno che l’intero novero di soggetti – designati e autorizzati – che ricadono sotto l’autorità del titolare del trattamento vengano coinvolti e formati rispetto al tema , in quanto ciascun soggetto inserito all’interno del contesto organizzativo del titolare può favorire flussi informativi precisi o dettagli appresi nell’ambito delle sue attribuzioni, connessi all’evento di data breach.

Il ruolo del DPO

Nei contesti in cui sia stata prevista la sua nomina , anche il responsabile per la protezione dei dati (o DPO, Data Protection Officer) di cui all’articolo 37 GDPR, gioca un ruolo fondamentale nella misura in cui assiste il titolare nelle valutazioni inerenti alla corretta rendicontazione dell’evento all’interno del registro nonché, qualora necessarie, allo svolgimento della notifica e comunicazione di cui, rispettivamente, agli artt. 33 e 34 GDPR.

Uno dei suoi principali compiti tra quelli individuati dalla normativa comunitaria, è proprio quello di “informare e fornire consulenza al titolare del trattamento” in merito agli obblighi derivanti dalla normativa europea (cfr. art. 39, comma 1, lett. a), GDPR).

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3