Data breach: cosa fare dopo la violazione

Accendiamo i riflettori su un aspetto peculiare del Regolamento Europeo sulla protezione dei dati, ovverosia la gestione delle violazioni dei dati personali o comunemente data breach.

Partiamo come sempre dalla definizione fornita dal legislatore europeo nel GDPR, ai sensi del quale, per violazione dei dati personali si intende: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.”

Stante l’obbligo di notifica all’Autorità Garante, posto in capo ai Titolari del trattamento, entro le 72 ore successive al momento in cui gli stessi sono venuti a conoscenza delle violazioni, si comprenderà la necessità, per le aziende, di dotarsi di una procedura adeguata attinente la gestione degli eventi negativi tali da essere ricompresi nella fattispecie di cui all’art. 4 del GDPR.

Punto di riferimento indiscusso è rappresentato dal Referente Privacy o Privacy Manager aziendale, sul quale graverà l’onere di sensibilizzare sul tema, tutti gli autorizzati al trattamento dei dati mediante la distribuzione della procedura Data Breach aziendale che illustrerà in maniera puntuale e minuziosa le opportune condotte da porre in essere a seguito della violazione intervenuta.

Individuiamo, in termini generali, le differenti fasi che scandiscono la gestione di un potenziale data breach aziendale, che verosimilmente possiamo suddividere in:

• Raccolta delle informazioni;
• Analisi delle segnalazioni e valutazioni dell’evento;
• Notifica al Garante e comunicazioni agli interessati;
• Registrazione e segnalazione nel registro dei data breach;
• Analisi post violazione.

Raccolta delle informazioni

Le segnalazioni di eventi negativi potranno pervenire a livello interno dagli autorizzati al trattamento o provenire da flussi esterni, quindi dai Responsabili delle attività di trattamento ex art. 28 del GDPR ovvero dagli interessati stessi qualora siano a conoscenza di utilizzi impropri dei dati personali che li riguardano, da parte di terzi non autorizzati. Prescindendo la fonte di provenienza della segnalazione, procedure efficienti richiedono comunicazioni tempestive al Referente Privacy e/o al Legale Rappresentante. In caso di impossibilità a instaurare un contatto diretto, è bene che la segnalazione raggiunga quantomeno i superiori gerarchici o per gli esterni, il referente aziendale di riferimento. In aggiunta, si rammenta la possibilità di ricorrere direttamente al Data Protection Officer, ove presente, i cui dati vengono resi pubblici da parte dell’Azienda sui rispettivi siti internet e/o tramite Intranet aziendali.

Analisi delle segnalazioni e valutazioni dell’evento

Constatata l’effettiva violazione, alla segnalazione seguirà un’analisi preliminare dell’accaduto, finalizzata alla raccolta di tutte le informazioni concernenti l’anomalia, quali a titolo non esaustivo: data e ora dell’evento negativo, fonte della segnalazione, tipologia della violazione, descrizione dell’evento, numero di interessati coinvolti, numerosità dei dati personali di cui si presume la violazione, indicazione del luogo in cui è avvenuta la violazione con particolare riguardo ai sistemi di elaborazione e di memorizzazione coinvolti, con indicazione della loro ubicazione e soggetti coinvolti.

Questa prima fase di analisi richiederà il coinvolgimento dell’intero team Privacy aziendale se ci riferiamo a realtà più strutturate o per le piccole imprese, Privacy Manager, responsabili IT se la violazione è di tipo informatico, soggetti aziendali direttamente coinvolti e in ultimo, ma non per importanza, il D.P.O. se nominato.

Una volta classificata la violazione quale intenzionale o accidentale distruzione, perdita, modifica di dati personali ovvero quale divulgazione non autorizzata e accesso ai dati personali illecito, l’Azienda dovrà valutare se sussiste un rischio elevato per gli interessati in conformità all’art. 33 del GDPR, tale da cagionare:

• discriminazioni;
• furto o usurpazione d’identità;
• perdite finanziarie;
• pregiudizio alla reputazione;
• perdita di riservatezza dei dati personali protetti da segreto professionale;
• danno economico o sociale significativo;
• privazione o limitazione di diritti o libertà;
• impedito controllo sui dati personali all’interessato;
• danni fisici, materiali o immateriali alle persone fisiche.

Di recente il Garante Privacy, al fine di semplificare gli adempimenti previsti per i titolari del trattamento, ha ideato e messo disposizione un apposito strumento di autovalutazione (Self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza. L’espediente costituisce un ottimo supporto per la gestione degli eventi negativi ed è consultabile al link Self Assessment (gpdp.it)

Notifica al Garante e comunicazioni agli interessati

Qualora questa prima fase di analisi conduca ad un esito positivo, configurandosi un rischio elevato per gli interessati, il Titolare del trattamento dovrà provvedere a segnalare la violazione subita, al Garante Privacy, senza ingiustificato ritardo, entro le 72 ore successive dal momento in cui ne è venuto a conoscenza. Nel caso delle violazioni segnalate oltre il termine stabilito, sarà onere del Titolare allegare alla segnalazione, i motivi del ritardo. Per quanto concerne la segnalazione, il Titolare potrà avvalersi del modello messo a disposizione dall’Autorità stessa e scaricabile al link o in alternativa fornire con linguaggio chiaro e preciso tutte le informazioni di cui all’art. 33.3. del GDPR. La notifica dovrà essere inviata al Garante tramite posta elettronica certificata agli indirizzi consultabili sul sito e l’oggetto del messaggio conterrà obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI”.

Non dimentichiamoci che, parallelamente, sempre nell’ipotesi in cui si palesi una violazione significativa per gli interessati, i titolari del trattamento dovranno provvedere, senza ingiustificato ritardo, a dare comunicazione dell’incidente agli interessati, i cui dati siano stati violati.

I contenuti della comunicazione, richiamati dall’art. 34 del GDPR, riprendono in linea di massima, i contenuti richiesti per la comunicazione all’Autorità Garante, tra cui si pone l’accento sulla descrizione delle conseguenze della violazione nonché l’elenco delle misure di sicurezza adottate o di cui si propone l’adozione per porre rimedio alla violazione.

Registrazione e segnalazione nel registro dei data breach e analisi post violazione

Il GDPR richiede espressamente ai titolari del trattamento di tener traccia di qualsiasi violazione subita e delle informazioni ad esse connesse, anche nell’ipotesi in cui non si sia configurato un vero e proprio data breach; la cura di tale registro si pone generalmente in capo al Referente Privacy.

Fortemente consigliato uno step finale volto ad effettuare un’analisi post-incidente, per verificare l’efficacia e l’efficienza delle azioni intraprese durante la gestione dell’evento e identificare possibili aree di miglioramento, anche in riferimento alle misure di sicurezza tecniche ed organizzative implementate dall’Azienda per assicurare la protezione dei dati personali trattati.

Le fasi descritte appaiono meramente indicative, le singole realtà aziendali richiedono inevitabilmente personalizzazioni e approfondimenti specifici, finalizzati all’individuazione di procedure data breach calzanti e pregnanti ai vari scenari possibili.