Data Breach e notifica all’autorità, i dubbi nella gestione operativa
Negli ultimi mesi abbiamo assistito sulle pagine di cronaca a un susseguirsi di notizie su furti di dati, attacchi hacker e divulgazioni di database pieni di password. Di conseguenza è aumentata come mai prima la percezione e di conseguenza il timore che i propri dati personali possano essere persi, modificati o divulgati senza autorizzazione. In altre parole, che accada quello che il GDPR 16/679 definisce data breach o più semplicemente in italiano una violazione dei dati personali.
Accadimenti di questo tipo possono compromettere più o meno gravemente la riservatezza, la correttezza e la disponibilità di un dato personale. Questo è il motivo per cui il Regolamento Europeo sulla protezione dei dati - entrato definitivamente in vigore ormai più di un anno fa - stabilisce tra le altre cose anche come un'organizzazione, non importa se privata o pubblica, debba comportarsi in questi casi.
Il primo dovere per i titolari e i responsabili dei trattamenti, vale a dire per le aziende e gli enti che intervengono nel processo di trattamento dei dati personali, è quello di accertarsi che quanto accaduto rappresenti effettivamente una violazione. Ricostruire e descrivere il più correttamente possibile l'accaduto in base alle informazioni in nostro possesso diventa quindi il passaggio preliminare a qualsiasi altra azione successiva.
Solo una corretta identificazione del data breach potrà aiutarci a compiere il secondo passo: stabilire quanto la violazione sia stata grave e quali sono le azioni correttive che dovremo intraprendere.
Sottovalutare o sovrastimare l'importanza di quanto accaduto è in realtà più frequente di quanto immaginiamo e compiere correttamente questa operazione diventa fondamentale nel processo di gestione dell'incidente. Infatti alcuni data breach necessiteranno solamente di essere registrati mentre altri potrebbero far scattare l’obbligo di notifica all’Autorità Garante per la protezione dei dati personali.
L'articolo 33 del Regolamento EU 16/679 stabilisce i casi in cui un data breach debba essere notificato al Garante. Questi casi comprendono sostanzialmente quelle violazioni che possono avere importanti ripercussioni sugli individui, causando potenzialmente delle limitazioni delle libertà personali o altri danni fisici e morali. Anche in questo caso il GDPR pone al centro di tutto la tutela del singolo individuo e il ruolo di responsabilità assunto dalle organizzazioni che trattano i suoi dati.
È fondamentale ricordare come la gestione violazioni e l’intero Regolamento Europeo sul trattamento dei dati si basino sul concetto di prevenzione. Prevenire significa essere accountability. In altre parole viene richiesto di avere un atteggiamento proattivo e verificare ancora prima di muoverci che gli strumenti e le procedure utilizzate nella gestione dei dati personali siano adeguati secondo il principio di privacy by design e by default.