Tutti sanno ormai cos’è un data breach e come gestire una violazione di dati personali. Poco si parla, invece, di cosa fare prima che accada un data breach e quindi per prevenire una possibile violazione.

La gestione delle violazioni di dati personali, a rigore, non costituisce una novità assoluta introdotta dal GDPR. Nella normativa previgente (art. 32 bis del Codice Privacy, Regolamento UE 611/13 e diversi Provvedimenti del Garante) qualche prescrizione era già presente per settori specifici: società telefoniche e internet provider, dossier sanitari elettronici, dati biometrici, amministrazioni pubbliche (nel caso di impatto significativo) e banche (per casi di particolare rilevanza).

Forse per questo motivo all’entrata in vigore del GDPR non è fiorito su questo tema un dibattito particolarmente vivace, a differenza di quanto avvenuto a riguardo di altri istituti innovativi quali la pratica della DPIA o la figura del DPO.

Persino le Linee Guida WP250 (adottate dal WP29 il 3/10/17) chiariscono e dettagliano ma aggiungono poco.

Ma vediamo se è proprio tutto così scontato.

Partiamo da come questa materia viene normalmente definita: “Notifica del data breach”. Infatti, l’art.33 del GDPR è appunto rubricato come “Notifica di una violazione dei dati personali all’autorità di controllo”. E il contenuto dell’articolo stesso, sin dal primo paragrafo, proprio a questo si riferisce: obbligo per il titolare di notifica al Garante, obbligo per il responsabile di informare il titolare, contenuto della notifica, modalità di fornitura delle informazioni, documentazione delle violazioni.

Poi c’è l’art.34, relativo alla comunicazione delle violazioni agli interessati.

Nessuna prescrizione in questi due articoli su misure da adottare per prevenire, individuare o gestire le violazioni.

Teniamo tuttavia presente che gli artt. 33 e 34 (nell’ambito della Sezione 2 del GDPR, dedicata alla Sicurezza dei dati personali) sono preceduti dal 32, che prescrive al titolare (e al responsabile) di mettere in atto “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”. Appare quindi evidente che la Sezione 2 vada letta nel suo insieme, e che ne discenda la necessità di adottare misure adeguate prima del verificarsi del data breach.

Non dimentichiamoci, infine, che lo spirito dell’intero Regolamento è quello di esporre i principi, lasciando al titolare la scelta delle modalità da adottare per rispettare i principi. Vogliamo quindi supporre che il legislatore abbia inteso dire qualcosa tipo “non c’è bisogno di fare nulla per prevenire o contrastare le violazioni, basta che quando accadono mi mandi la notifica”? Evidentemente no.