Juan Carlos Amati

Se da un lato questa associazione è corretta, ma dall'altra ha fatto spostare l'attenzione e le potenzialità che il GDPR può avere per un'impresa in termini di organizzazione e di reputazione, finendo per essere considerato un altro adempimento imposto dal legislatore.

Che cos'è il data breach?

L'articolo 33 del GDPR 679/2016 non chiarisce le circostanze in cui identificare una violazione, preferisce non entrare nel merito evitando di fare un elenco di situazioni possibili e probabili che in futuro dovrebbero essere aggiornate portando a una revisione del regolamento.

Il Regolamento, nell'articolo indicato, pone l'attenzione sulle conseguenze che la violazione può avere nei confronti dell'interessato. Soltanto identificando le conseguenze e quindi il rischio per i diritti e le libertà delle persone fisiche il titolare del trattamento riconosce la violazione e le azioni da compiere.

Identificare le conseguenze è un processo a valle di operazioni e passaggi che il titolare del trattamento è tenuto a fare a monte come ad esempio l'analisi del rischio (Risk Analysis) o DPIA se richiesto, sono tutti questi passaggi nel nuovo Regolamento che aiutano a spiegare il termine di Accountability, cioè la responsabilizzazione del titolare del trattamento per adottare un comportamento per limitare i rischi per l'interessato.

Cosa fare in caso di violazione

Il titolare del trattamento è tenuto ad avvisare l'autorità di controllo, in Italia è il Garante della privacy, notificando con le opportune procedure cosa è successo, ed entro le 72 ore da quando è venuto a conoscenza della violazione.

Se il titolare del trattamento si avvale di uno o più responsabili del trattamento, ognuno per il proprio ambito di competenza è tenuto ad avvisare il titolare del trattamento appena viene a conoscenza della violazione. Si identificano responsabili del trattamento coloro i quali sottoscrivono con il titolare del trattamento un contratto come indicato dall'art 28 del GDPR; ad esempio una società esterna a cui si affidano i propri dati per campagne di newsletter, oppure una società che ha l'assistenza delle postazioni informatiche, il commercialista o la società incaricata della gestione buste paga.

Il titolare del trattamento è tenuto ad avvisare l'autorità di controllo comunicando le seguenti informazioni:

• Descrivere la natura della violazione dei dati personali, la categoria e il numero di interessati, anche in modo approssimativo
• Fornire i dati identificativi del DPO, responsabile della protezione dei dati nel caso sia nominato o altro punto di contatto presso cui ottenere informazioni. Questo non vuol dire che un responsabile del trattamento possa essere incluso quale contatto dove reperire informazioni senza che quest'ultimo sia d'accordo. Per questo motivo stipulare un contratto aiuta a definire compiti e azioni ben specifiche
• Descrivere le probabili conseguenze della violazione
• Descrivere le misure adottate dal titolare del trattamento per porre rimedio alla violazione, mitigandone gli effetti negativi

Quando comunicare la violazione all'interessato

• Sono state messe delle misure di sicurezza tecniche e organizzative adeguate a rendere i dati incomprensibili a chi possa averli violati
• La comunicazione richiede uno sforzo sproporzionato per il titolare del trattamento, ad esempio non si conoscono i riferimenti o i dettagli dei dati violati o il numero di dati personali è eccessivo, il titolare del trattamento procede ad una comunicazione pubblica per informare gli interessati della violazione

Conclusione

• basta dimenticare un notebook in stazione
• subire un furto in auto dove c'era il telefono aziendale
• un furto presso la sede del cliente se spariscono postazioni di lavoro e relativi server.
• un faldone di documenti cartacei sottratto dalla pila di documenti sulla scrivania con accesso consentito al pubblico