Accountability e responsabilizzazione rappresentano due principi centrali del GDPR, che richiedono al titolare una costante attività di rendicontazione in merito alla compliance normativa. Non fa eccezione il tema del data breach, ossia delle ipotesi di violazioni di dati personali, che devono essere documentate anche al fine di consentire all’Autorità garante il controllo circa il rispetto della normativa da parte del titolare.
Risulta quindi opportuno tenere un registro del data breach: vediamo quali informazioni deve contenere e come va realizzato.
Perché serve un registro del data breach
L’obbligo di rendicontare – a prescindere dalla loro portata – gli eventi di data breach, è direttamente collegato ai richiamati principi di accountability e di responsabilizzazione e, sebbene al titolare del trattamento sia consentito di determinare il metodo per documentare la violazione, le Linee guida del WP29 sulla notifica del data breach (WP250rev.01) evidenziano come quest’ultimo venga “incoraggiato a creare un registro interno delle violazioni, indipendentemente dal fatto che sia tenuto a effettuare la notifica o meno” (cfr. cap. V, par. A).
Registro data breach, cosa deve contenere
Riguardo alla veste da dare al registro, approfondendo la lettura delle linee guida, la nota 23 di pagina 29 ammette la possibilità di utilizzare eventualmente il registro delle attività di trattamento di cui all’art. 30, comma 1, GDPR, anche al fine di registrare gli eventi di data breach. Non è infatti richiesto necessariamente un registro separato, ferma restando la necessità “che le informazioni rilevanti per la violazione siano chiaramente identificabili come tali e possano essere estratte su richiesta”.
Pertanto, nel “registro data breach” il titolare è tenuto a rendicontare i dettagli relativi alle violazioni, comprese le cause, i fatti e i dati personali coinvolti. Dovrebbe altresì indicare gli effetti e le conseguenze del data breach, nonché i provvedimenti e le contromisure adottate per porvi rimedio.
Oltre a queste informazioni, le Linee guida raccomandano anche di documentare il ragionamento alla base delle decisioni prese in risposta a una violazione. Se, ad esempio, una violazione non viene notificata – secondo quanto previsto ex art. 33 GDPR – all’Autorità Garante, è opportuno documentare la giustificazione posta alla base di tale decisione, includendo i motivi per cui si è ritenuto improbabile che la violazione potesse presentare un rischio per i diritti e le libertà delle persone fisiche o le condizioni per la mancata comunicazione dell’evento agli interessati di cui all’art. 34, comma 3, GDPR.
Registro Data Breach, chi deve gestirlo
Al fine di favorire una costante e corretta tenuta del registro sopra illustrato, appare fondamentale per il titolare la previsione di una specifica procedura interna di data breach, che stabilisca ex ante le modalità da rispettare per la conservazione del registro, il suo esatto contenuto, tempi e metodi circa la sua compilazione, nonché i soggetti eventualmente delegati all’aggiornamento di quello che, a tutti gli effetti, potremmo definire una sorta di “diario di bordo” sulle violazioni aventi a oggetto i dati personali trattati dal titolare.
Proprio in ragione del loro fondamentale ruolo, volto anche a coadiuvare l’attività di rendicontazione del titolare, i soggetti designati al trattamento di cui all’art. 2-quaterdecies del Codice privacy novellato (D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018) devono essere particolarmente sensibilizzati sul tema ed edotti in merito alle sopra richiamate modalità di tenuta del registro.
Tuttavia, a ben vedere, appare opportuno che l’intero novero di soggetti – designati e autorizzati – che ricadono sotto l’autorità del titolare del trattamento vengano coinvolti e formati rispetto al tema , in quanto ciascun soggetto inserito all’interno del contesto organizzativo del titolare può favorire flussi informativi precisi o dettagli appresi nell’ambito delle sue attribuzioni, connessi all’evento di data breach.
Il ruolo del DPO
Nei contesti in cui sia stata prevista la sua nomina , anche il responsabile per la protezione dei dati (o DPO, Data Protection Officer) di cui all’articolo 37 GDPR, gioca un ruolo fondamentale nella misura in cui assiste il titolare nelle valutazioni inerenti alla corretta rendicontazione dell’evento all’interno del registro nonché, qualora necessarie, allo svolgimento della notifica e comunicazione di cui, rispettivamente, agli artt. 33 e 34 GDPR.
Uno dei suoi principali compiti tra quelli individuati dalla normativa comunitaria, è proprio quello di “informare e fornire consulenza al titolare del trattamento” in merito agli obblighi derivanti dalla normativa europea (cfr. art. 39, comma 1, lett. a), GDPR).
