Gli obblighi del DPO in caso di Data Breach
12 Ottobre 2020 in DPO as a Service
Il GDPR definisce il data breach, all’art. 4, come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Tale violazione, ove riguardi dati di particolare importanza, può comportare per l’interessato numerose conseguenze, tra cui la limitazione dei propri diritti, il furto o l’usurpazione della propria identità, un pregiudizio alla reputazione ed altri tipi di danni fisici, materiali o immateriali.
Obbligo del titolare è, dunque, quello di salvaguardare tre aspetti fondamentali:
- riservatezza,
- integrità (ossia la corrispondenza al dato fornito dall’interessato)
- disponibilità dei dati trattati.
Allo stesso modo, si richiede espressamente al titolare di mettere in atto una serie di adempimenti volti alla notifica e alla registrazione dell’avvenuta violazione.
Cosa si deve fare in caso di data breach?
Qualora si verifichi una violazione dei dati personali, il titolare del trattamento deve provvedere, ai sensi dell’art. 33 GDPR, “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza”, a porre in essere attività di varia natura:
• Valutazione del rischio per i diritti degli interessati conseguente all’avvenuta violazione dei dati personali, anche sulla base delle indicazioni e dei parametri di valutazione forniti dalle Autorità nazionali ed europee;
• Annotazione del breach all’interno di un apposito registro;
• Notifica del breach al Garante, salvo che sia “improbabile” che la violazione dei dati comporti un rischio per i diritti e le libertà individuali, con indicazione dei motivi dell’eventuale ritardo della comunicazione della stessa;
• Comunicazione del breach agli interessati, tramite i canali ritenuti maggiormente idonei, nell’ipotesi in cui la violazione assuma livelli di rischio tali da comportare elevati rischi per gli stessi.
L’esecuzione anche della sola valutazione del rischio richiede, da parte del titolare, il possesso di competenze specifiche in materia di protezione dei dati personali o, quantomeno, di una struttura organizzativa altamente formata che sia in grado di agire tempestivamente e consapevolmente.
Cosa deve fare il DPO in caso di data breach?
Il DPO, o Responsabile della Protezione dei dati (“RPD”), nel suo ruolo combinato di consulente e “controllore” dei trattamenti di dati personali svolti dal titolare, rappresenta anche una delle figure centrali nella gestione del breach e dei relativi adempimenti, tra cui la verifica della tenuta da parte del Titolare di un apposito Registro contenente:
• tutti i casi di violazione occorsi, compresi quelli di minore importanza, cui non ha fatto seguito una notifica al Garante;
• le potenziali minacce cui l’azienda può andare incontro, al fine di identificare le violazioni dei dati ricorrenti e, conseguentemente, consentire al titolare di adeguare il sistema tecnico-organizzativo secondo le necessità proprie e specifiche dell’azienda.
La corretta predisposizione e l’aggiornamento di tale documento potrà, altresì, consentire all’Autorità di controllo, nel caso in cui siano posti in essere dei controlli sulla conformità alla normativa in materia di protezione dei dati personali, di verificare il rispetto dell’art. 33 GDPR (ovvero il motivo per cui eventualmente alcune violazioni registrate non sono state notificate).
Al DPO, ove presente, spetta anche il duplice compito di fungere da punto di riferimento nei rapporti con i soggetti interni all’azienda (connessi alla rilevazione dei breaches e allo studio di come prevenirli) e nei rapporti esterni con le Autorità e con gli interessati lesi dalla violazione, come previsto espressamente dall’art. 39 GDPR.
In conclusione, il DPO, per l’impresa, costituisce il miglior alleato per la corretta gestione di un data breach, in quanto soggetto dotato di competenze settoriali e trasversali che possono garantire una gestione efficace e tempestiva della violazione, riducendo al minimo i potenziali danni derivanti dalla stessa.
P4I – Partners4Innovation