sicurezza dei dati

Il ruolo del DPO nella gestione del databreach: una guida



Indirizzo copiato

Il Data Protection Officer (DPO) guida il Titolare del Trattamento nelle violazioni dei dati. Analizza il rischio, notifica l’autorità competente entro 72 ore e assiste nella gestione dell’evento. Utilizzando modelli come ENISA, valuta l’impatto e suggerisce misure correttive. La collaborazione tra DPO e Titolare è essenziale per garantire l’accountability

Pubblicato il 26 giu 2024

Alessia Artibani

avvocato, Inveo Advisory



data breach

Nel contesto pervasivo e crescente dei data breach, il Data Protection Officer assume il ruolo di guida per il titolare del trattamento attraverso un processo rigoroso di analisi e valutazione in caso di violazioni dei dati.

Tra i compiti del DPO vi è quello di fornire gli strumenti al Titolare affinché sia messo nelle condizioni di adottare decisioni informate e consapevoli, anche in ipotesi di violazioni dei dati.

The Importance of Data Protection

Di cosa parliamo quando parliamo di data breach

Occorre in primis ricordare che con il termine “data breach” si intende una violazione dei dati che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Quando si verifica un data breach, il Titolare può ricevere la comunicazione o da un dipendente, se la violazione dei dati è “interna”, ovvero dal Responsabile del Trattamento, per violazioni dei fornitori o subfornitori, raramente può pervenire da interessati o terzi. Venuto a conoscenza dell’evento, il Titolare ha l’onere di notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Fasi preliminari della gestione del data breach

L’assunto normativo richiede pertanto che, non appena il Titolare abbia contezza dell’accaduto, proceda ad acquisire tutte le informazioni necessarie per una approfondita analisi che permetta di calcolare l’eventuale rischio per i diritti e le libertà delle persone fisiche. A tal proposito le attività di indagine prevedono un focus per:

  • delimitare il perimetro della violazione
  • comprendere quali e quanti dati siano stati coinvolti dalla violazione
  • individuare gli interessati o perlomeno la categoria di interessati.

Contestualmente all’attenzione dettagliata all’evento occorso, si deve altresì verificare l’esistenza e il contenuto delle necessarie nomine ex art 28 GDPR, ivi compresa l’esistenza di istruzioni e misure di sicurezza in atto, nonché le risultanze di eventuali analisi di pre-qualifica che le informazioni contenute nel contratto – nel caso di coinvolgimento di responsabili del trattamento – e delle autorizzazioni ex art 29 GDPR quando la violazione viene dall’interno dell’azienda.

Compiti del DPO in caso di data breach

Nonostante sia ovvia e da alcuni ritenuta superflua la verifica della documentazione di designazione/autorizzazione, è opportuno che il Titolare, con il supporto del DPO riesca a ricongiungere tutte le informazioni e la documentazione che gravita intorno all’evento, come quando si congiungono le parti di un puzzle, verificando e garantendo la corrispondenza tra la realtà fattuale e la documentazione di cui all’impianto privacy.

Effettuata, quindi, la verifica “preliminare”, sia qualora la comunicazione circa la violazione dei dati pervenga dall’interno dell’azienda, che nei casi in cui il breach abbia coinvolto un responsabile del trattamento, il suggerimento che il DPO fornisce è di acquisire le informazioni necessarie per comprendere l’entità, l’estensione, il coinvolgimento, le conseguenze e le misure poste a rimedio dell’evento.


In particolare, è necessario acquisire almeno le seguenti informazioni: a) Contesto del trattamento e tipologia di dati; b) Facilità di identificazione dell’individuo sulla base dei dati violati; c) Circostanze della violazione.

Analisi del rischio e decisione sulla notifica al Garante

Il DPO, quindi attraverso uno strumento che ritiene oggettivo e valido, fornisce un parere circa la notifica al Garante e la comunicazione all’interessato (ai sensi degli artt. 33 e 3 GDPR), calcolando se la violazione dei dati personali possa presentare un rischio per i diritti e le libertà delle persone fisiche conseguente all’evento occorso, suscettibile di cagionare un danno fisico, materiale o immateriale, comportando discriminazioni, furto d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti o qualsiasi altro danno economico o sociale significativo.

Uno degli strumenti ritenuti validi per tale valutazione è ad esempio il modello ENISA, attraverso il quale il DPO, attribuendo un punteggio al parametro relativo al contesto del trattamento, utilizzando come moltiplicatore il livello di identificabilità, e integrando con un coefficiente correttivo in base alla possibilità di perdita di riservatezza, integrità, disponibilità, e intenzioni malevoli, riesce a quantificare la c.d. gravità.

Invero, il risultato di tale valutazione c.d. Gravità consente di individuare il livello di rischio (basso, medio, alto, molto alto). Il livello di rischio viene quindi descritto in base alle conseguenze e agli inconvenienti che potrebbero incontrare gli interessati.

La valutazione del DPO, in ogni caso non impone al Titolare di effettuare la notifica al Garante, e/o la comunicazione all’interessato, lasciando le definitive decisioni all’unico soggetto titolare e responsabile del trattamento (c.d. Titolare).

In seguito alla relazione di calcolo del rischio per i diritti e le libertà delle persone fisiche con riguardo alla violazione dei dati, il DPO deve altresì continuare nell’assistenza e nel supporto al Titolare, assistendolo, anche nella notifica al Garante, nella cui procedura (preliminare ovvero completa) vengono richieste una serie di precise informazioni che devono essere già state acquisite precedentemente.

Tra le informazioni richieste si annoverano a titolo esemplificativo ma non esaustivo le seguenti:

  • aggiornamento costante delle attività di indagine del responsabile del trattamento, ovvero dell’ufficio interno che ha attenzionato l’evento;
  • impatto sui dati personali;
  • natura della violazione dei dati personali;
  • categorie e numero approssimativo degli interessati coinvolti;
  • categorie ed il numero approssimativo di registrazioni di dati personali oggetto della violazione;
  • possibili conseguenze della violazione dei dati personali.
  • indicazione delle misure tecniche e organizzative adottate (o di cui si propone l’adozione) per porre rimedio alla violazione e ridurne gli effetti negativi per gli interessati.
  • indicazione delle misure tecniche e organizzative adottate (o di cui si propone l’adozione) per prevenire simili violazioni future.

Monitoraggio post-notifica e implementazione delle misure correttive

Compiuta la notifica al Garante, il DPO dovrà condurre il Titolare nel continuo monitoraggio delle attività di analisi, oltre che nella verifica delle misure tecniche e organizzative adottate o delle quali si propone l’adozione con indicazione dei tempi, sia per porre rimedio alla violazione e ridurne gli effetti negativi e sia per prevenire futuri potenziali analoghi episodi.

Ad esempio, se la violazione dei dati è la conseguenza di una “debolezza” tecnologica/informatica, l’attività di implementazione deve tendere a colmare la mancanza risultante; se diversamente, l’evento è conseguente ad una carenza di sensibilizzazione/formazione del personale, un adeguato iter formativo deve essere quanto prima pianificato ed effettuato.

È infatti il caso specifico a indirizzare il Titolare, con l’assistenza del DPO, nell’adozione da parte del primo, ovvero dei suoi Responsabili, di misure tecniche ed organizzative adeguate. Non esiste un vademecum specifico da “utilizzare”, ma il Titolare, con il supporto del DPO, dovrà entrare nel merito della problematica e comprenderne le sfumature, alla ricerca di una giusta soluzione, che contemperi lo stato dell’arte, i costi di attuazione, la natura, l’oggetto, il contesto e le finalità del trattamento.

Tra i compiti del DPO, si ritiene sia necessario – nell’ottica di fornire assistenza e consulenza – concordare insieme al titolare una cadenza nel verificare internamente il rispetto del piano di azione previsto, se ritenuto anche attraverso audit di prima parte, oltre a richiedere al fornitore lo stato delle indagini in corso ed eventuali aggiornamenti, pianificando altresì audit di seconda parte.

Il principio di accountability e l’importanza dell’approccio proattivo

In conclusione, l’obiettivo del DPO è far comprendere al Titolare che la gestione di un eventuale data breach deve sempre avere come principio basilare quello c.d. di accountability. La consapevolezza del Titolare deve emergere documentalmente e/o attraverso evidenze che attestino la presa in carico della problematica, la tutela degli interessati e le misure necessarie per evitare che l’evento si ripeta.

Anche in questo caso, il GDPR non dice cosa e come comportarsi, ma richiede un adeguato comportamento e presa in carico della questione, secondo una valutazione e analisi che viene lasciata al Titolare, coadiuvato in tutto e per tutto dal DPO.

In caso di controllo da parte dell’Autorità Garante, quindi, la verifica è sostanzialmente centrata nel comprendere – attraverso evidenze – le logiche e i ragionamenti posti in essere dal Titolare, unitamente al DPO.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4