DPO: il suo ruolo in caso in caso di Data Breach

Cosa significa “data breach”

Tradotto come «violazione dei dati personali» nella versione italiana del Regolamento Europeo sulla protezione dei dati, un data breach è definibile come violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati [1].

In concreto, una violazione di dati personali va a minare uno o più dei tre pilastri della sicurezza informatica, i cosiddetti “requisiti RID”: riservatezza, integrità e disponibilità dei dati. È proprio sulla base di questi elementi che il Gruppo di Lavoro dell’Articolo 29[2] definisce tre tipi di data breach:

• Violazione della riservatezza: divulgazione o accesso ai dati personali non autorizzati o accidentali;
• Violazione dell’integrità: modifica dei dati personali non autorizzata o accidentale;
• Violazione della disponibilità: perdita, distruzione o accesso accidentali o non autorizzati di dati personali.

Posta la definizione ex articolo 4 del GDPR, va comunque sottolineato il fatto che la natura della violazione non debba essere necessariamente di tipo criminoso, al contrario di quanto si potrebbe pensare associando l’evento ad un “cyber crime”.  In realtà si parla di data breach anche quando la sua origine è di tipo accidentale e talvolta involontario, come nei casi di errore umano citati negli esempi di violazioni offerti dalle linee Guida 01/2021 dell’EDPB[3].

Di conseguenza, tale definizione amplia notevolmente le potenziali situazioni in cui imprese si trovano ad affrontare un data breach, e farlo in maniera adeguata richiede che si condivida e diffonda nell’organizzazione una cultura della consapevolezza del rischio, in modo tale che ciascuno dei componenti sappia come reagire tempestivamente di fronte a una violazione.

Affrontare la violazione

Nel caso in cui si constati che si sia verificata una violazione dei dati personali, è necessario indagare su quanto accaduto al fine di definire le caratteristiche dell’evento negativo, per poterlo classificare e valutare. Comprendere quanto accaduto è infatti un passaggio indispensabile per poter affrontare il data breach in modo adeguato e conforme alla normativa, perché è sulla base della valutazione effettuata che andranno ad essere definiti gli step successivi da seguire[4].

Qualora infatti dalla valutazione emerga la sussistenza di un rischio per i diritti e le libertà delle persone fisiche, l’articolo 33 del GDPR impone in capo al titolare del trattamento l’obbligo di notifica della violazione all’autorità di controllo, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza[5].

Nel caso in cui il livello di rischio sia elevato, all’onere di notifica al Garante Privacy si aggiunge anche quello di dare comunicazione della violazione anche all’interessato, senza ingiustificato ritardo.

L’evento, identificato, analizzato e comunicato, deve inoltre essere registrato tenendo traccia delle violazioni subite, in ottica di accountability.

Infine, in una prospettiva di miglioramento continuo, l’impresa o l’organizzazione che ha subito la violazione dovrebbe cercare di trasformare l’evento negativo in un’opportunità di apprendimento, svolgendo su di sé un “esame di coscienza” in cui riflettere su diversi aspetti.

Innanzitutto, evidenziando le ragioni che hanno permesso il verificarsi del data breach: ad esempio, se vi erano vulnerabilità pregresse che sono state sfruttate da degli hacker per perpetrare un cyber-attacco, oppure se le procedure aziendali non sono state rispettate o non erano adeguate a definire come gestire una determinata attività.

In secondo luogo, l’organizzazione sarà chiamata a ripercorrere l’evolversi dell’evento per verificare che sia stato gestito in maniera efficiente ed efficace, ad esempio per quanto riguarda l’implementazione delle iniziative di business continuity, ed eventualmente evidenziando le lacune o le criticità che sono emerse.

Il ruolo del DPO in caso di Data Breach

È evidente che le attività sopracitate richiedono uno sforzo notevole in capo al titolare del trattamento, oltre che in generale a tutti i componenti dell’organizzazione, in aiuto dei quali può entrare in gioco il DPO – Responsabile della Protezione dei dati.

Il DPO deve avere le competenze professionali e le conoscenze giuridiche e tecniche[6] per poter adempiere ai compiti che il GDPR lo chiama a svolgere, incluso il suo ruolo nella gestione delle violazioni dei dati personali. In particolare, le attività di consulenza e controllo che può mettere in atto, sono individuabili a fronte dei suddetti step da compiere nel caso in cui si verifichi un data breach.

Nella fase di comunicazione della violazione, il DPO può agire come punto di contatto tra l’azienda e gli interessati, oltre che come riferimento nei confronti dell’Autorità di controllo.

Il DPO può poi essere coinvolto nella redazione del registro delle violazioni, in cui documentare gli eventi negativi, e che in caso di eventuali verifiche e ispezioni dovrà essere messo a disposizione dell’Autorità di controllo.

In generale, il Responsabile della Protezione dei dati contribuisce a promuovere quel clima di consapevolezza che si è detto essere fondamentale per la gestione della violazione, oltre che più in generale a sensibilizzare e formare i membri dell’organizzazione verso l’importanza di un corretto trattamento dei dati personali.

[1] Articolo 4 (12), Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016

[2] Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679, adottate il 3 ottobre 2017, Versione emendata e adottata in data 6 febbraio 2018 wp250rev01_it.pdf

[3] Guidelines 01/2021 on Examples regarding Data Breach Notification, adottate il  14 gennaio 2021 edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf (europa.eu)

[4]Data breach: cosa fare dopo la violazione, Mondo Privacy, 8 Febbraio 2021 Data breach: cosa fare dopo la violazione – Mondo Privacy

[5] Dal luglio 2021, la notifica di data breach deve essere inviata al Garante tramite una procedura telematica, disponibile all’indirizzo https://servizi.gpdp.it/databreach/s/

[6] DPO: cosa fa il Data Protection Officer, 7 Febbraio 2022, Mondo Privacy DPO: COSA FA IL DATA PROTECTION OFFICER (mondoprivacy.it)