Nel contesto pervasivo e crescente dei data breach, il Data Protection Officer assume il ruolo di guida per il titolare del trattamento attraverso un processo rigoroso di analisi e valutazione in caso di violazioni dei dati.
Tra i compiti del DPO vi è quello di fornire gli strumenti al Titolare affinché sia messo nelle condizioni di adottare decisioni informate e consapevoli, anche in ipotesi di violazioni dei dati.
Di cosa parliamo quando parliamo di data breach
Occorre in primis ricordare che con il termine “data breach” si intende una violazione dei dati che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Quando si verifica un data breach, il Titolare può ricevere la comunicazione o da un dipendente, se la violazione dei dati è “interna”, ovvero dal Responsabile del Trattamento, per violazioni dei fornitori o subfornitori, raramente può pervenire da interessati o terzi. Venuto a conoscenza dell’evento, il Titolare ha l’onere di notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Fasi preliminari della gestione del data breach
L’assunto normativo richiede pertanto che, non appena il Titolare abbia contezza dell’accaduto, proceda ad acquisire tutte le informazioni necessarie per una approfondita analisi che permetta di calcolare l’eventuale rischio per i diritti e le libertà delle persone fisiche. A tal proposito le attività di indagine prevedono un focus per:
- delimitare il perimetro della violazione
- comprendere quali e quanti dati siano stati coinvolti dalla violazione
- individuare gli interessati o perlomeno la categoria di interessati.
Contestualmente all’attenzione dettagliata all’evento occorso, si deve altresì verificare l’esistenza e il contenuto delle necessarie nomine ex art 28 GDPR, ivi compresa l’esistenza di istruzioni e misure di sicurezza in atto, nonché le risultanze di eventuali analisi di pre-qualifica che le informazioni contenute nel contratto – nel caso di coinvolgimento di responsabili del trattamento – e delle autorizzazioni ex art 29 GDPR quando la violazione viene dall’interno dell’azienda.
Compiti del DPO in caso di data breach
Nonostante sia ovvia e da alcuni ritenuta superflua la verifica della documentazione di designazione/autorizzazione, è opportuno che il Titolare, con il supporto del DPO riesca a ricongiungere tutte le informazioni e la documentazione che gravita intorno all’evento, come quando si congiungono le parti di un puzzle, verificando e garantendo la corrispondenza tra la realtà fattuale e la documentazione di cui all’impianto privacy.
Effettuata, quindi, la verifica “preliminare”, sia qualora la comunicazione circa la violazione dei dati pervenga dall’interno dell’azienda, che nei casi in cui il breach abbia coinvolto un responsabile del trattamento, il suggerimento che il DPO fornisce è di acquisire le informazioni necessarie per comprendere l’entità, l’estensione, il coinvolgimento, le conseguenze e le misure poste a rimedio dell’evento.
In particolare, è necessario acquisire almeno le seguenti informazioni: a) Contesto del trattamento e tipologia di dati; b) Facilità di identificazione dell’individuo sulla base dei dati violati; c) Circostanze della violazione.
Analisi del rischio e decisione sulla notifica al Garante
Il DPO, quindi attraverso uno strumento che ritiene oggettivo e valido, fornisce un parere circa la notifica al Garante e la comunicazione all’interessato (ai sensi degli artt. 33 e 3 GDPR), calcolando se la violazione dei dati personali possa presentare un rischio per i diritti e le libertà delle persone fisiche conseguente all’evento occorso, suscettibile di cagionare un danno fisico, materiale o immateriale, comportando discriminazioni, furto d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti o qualsiasi altro danno economico o sociale significativo.
Uno degli strumenti ritenuti validi per tale valutazione è ad esempio il modello ENISA, attraverso il quale il DPO, attribuendo un punteggio al parametro relativo al contesto del trattamento, utilizzando come moltiplicatore il livello di identificabilità, e integrando con un coefficiente correttivo in base alla possibilità di perdita di riservatezza, integrità, disponibilità, e intenzioni malevoli, riesce a quantificare la c.d. gravità.
Invero, il risultato di tale valutazione c.d. Gravità consente di individuare il livello di rischio (basso, medio, alto, molto alto). Il livello di rischio viene quindi descritto in base alle conseguenze e agli inconvenienti che potrebbero incontrare gli interessati.
La valutazione del DPO, in ogni caso non impone al Titolare di effettuare la notifica al Garante, e/o la comunicazione all’interessato, lasciando le definitive decisioni all’unico soggetto titolare e responsabile del trattamento (c.d. Titolare).
In seguito alla relazione di calcolo del rischio per i diritti e le libertà delle persone fisiche con riguardo alla violazione dei dati, il DPO deve altresì continuare nell’assistenza e nel supporto al Titolare, assistendolo, anche nella notifica al Garante, nella cui procedura (preliminare ovvero completa) vengono richieste una serie di precise informazioni che devono essere già state acquisite precedentemente.
Tra le informazioni richieste si annoverano a titolo esemplificativo ma non esaustivo le seguenti:
- aggiornamento costante delle attività di indagine del responsabile del trattamento, ovvero dell’ufficio interno che ha attenzionato l’evento;
- impatto sui dati personali;
- natura della violazione dei dati personali;
- categorie e numero approssimativo degli interessati coinvolti;
- categorie ed il numero approssimativo di registrazioni di dati personali oggetto della violazione;
- possibili conseguenze della violazione dei dati personali.
- indicazione delle misure tecniche e organizzative adottate (o di cui si propone l’adozione) per porre rimedio alla violazione e ridurne gli effetti negativi per gli interessati.
- indicazione delle misure tecniche e organizzative adottate (o di cui si propone l’adozione) per prevenire simili violazioni future.
Monitoraggio post-notifica e implementazione delle misure correttive
Compiuta la notifica al Garante, il DPO dovrà condurre il Titolare nel continuo monitoraggio delle attività di analisi, oltre che nella verifica delle misure tecniche e organizzative adottate o delle quali si propone l’adozione con indicazione dei tempi, sia per porre rimedio alla violazione e ridurne gli effetti negativi e sia per prevenire futuri potenziali analoghi episodi.
Ad esempio, se la violazione dei dati è la conseguenza di una “debolezza” tecnologica/informatica, l’attività di implementazione deve tendere a colmare la mancanza risultante; se diversamente, l’evento è conseguente ad una carenza di sensibilizzazione/formazione del personale, un adeguato iter formativo deve essere quanto prima pianificato ed effettuato.
È infatti il caso specifico a indirizzare il Titolare, con l’assistenza del DPO, nell’adozione da parte del primo, ovvero dei suoi Responsabili, di misure tecniche ed organizzative adeguate. Non esiste un vademecum specifico da “utilizzare”, ma il Titolare, con il supporto del DPO, dovrà entrare nel merito della problematica e comprenderne le sfumature, alla ricerca di una giusta soluzione, che contemperi lo stato dell’arte, i costi di attuazione, la natura, l’oggetto, il contesto e le finalità del trattamento.
Tra i compiti del DPO, si ritiene sia necessario – nell’ottica di fornire assistenza e consulenza – concordare insieme al titolare una cadenza nel verificare internamente il rispetto del piano di azione previsto, se ritenuto anche attraverso audit di prima parte, oltre a richiedere al fornitore lo stato delle indagini in corso ed eventuali aggiornamenti, pianificando altresì audit di seconda parte.
Il principio di accountability e l’importanza dell’approccio proattivo
In conclusione, l’obiettivo del DPO è far comprendere al Titolare che la gestione di un eventuale data breach deve sempre avere come principio basilare quello c.d. di accountability. La consapevolezza del Titolare deve emergere documentalmente e/o attraverso evidenze che attestino la presa in carico della problematica, la tutela degli interessati e le misure necessarie per evitare che l’evento si ripeta.
Anche in questo caso, il GDPR non dice cosa e come comportarsi, ma richiede un adeguato comportamento e presa in carico della questione, secondo una valutazione e analisi che viene lasciata al Titolare, coadiuvato in tutto e per tutto dal DPO.
In caso di controllo da parte dell’Autorità Garante, quindi, la verifica è sostanzialmente centrata nel comprendere – attraverso evidenze – le logiche e i ragionamenti posti in essere dal Titolare, unitamente al DPO.
