Misure preventive per scongiurare un data breach

Consideriamo il contesto nel quale ci si trova a dover predisporre ed inviare la famosa notifica al garante. Si tratta certamente di un contesto di crisi, per due diversi motivi:

  • se c’è stata una violazione della sicurezza, bisogna agire con tempestività;
  • il GDPR prescrive tempi strettissimi (72 ore) per l’invio della notifica.

In questa situazione il titolare ha di fronte due possibilità: affrontare la questione solo nel momento in cui si verifica, improvvisando sul momento prassi e responsabilità, oppure predisporre ruoli e procedure.

Comprenderete allora perché sia opportuno adottare preventivamente alcune misure. Vediamo quali:

AmbitoDescrizione della misura
Ruoli e responsabilitàIndividuare un responsabile con competenze in data protection per valutare le conseguenze sui diritti degli interessati e gestire la notifica delle violazioni. Individuare un Responsabile IT con competenze sugli aspetti tecnici per prevenire e gestire le violazioni. Definire ed attuare un piano di formazione degli Incaricati al trattamento dei dati personali.
Misure organizzativePredisporre una procedura/regolamento. Definire il livello di rischio in caso di violazione per ogni trattamento di dati personali. Verificare eventuali vincoli contrattuali esistenti con i nostri clienti. Prevedere vincoli contrattuali con i nostri fornitori che trattano dati personali per nostro conto.
Prevenzione delle violazioniIn aggiunta ai sistemi di sicurezza già presenti, valutare l’adozione di sistemi atti a prevenire le violazioni.
Rilevazione delle violazioniDefinire gli eventi scatenanti la segnalazione di una violazione e adottare strumenti atti a rilevarli
Prevenzione delle conseguenzeValutare l’adozione di sistemi atti a prevenire rischi per i diritti degli interessati (ad esempio, la crittografia).

Classificazione dei rischi

Fra le misure organizzative da prevedere in procedura, particolare rilevanza assume la classificazione preventiva dei rischi. Si tratta di una distinzione niente affatto accademica, che ha invece conseguenze concrete ai fini della gestione della violazione (e relativa notifica):

  • rischio assente: la notifica al Garante non è obbligatoria solo nei casi in cui è possibile comprovare la totale mancanza di rischi;
  • rischio presente: in presenza di rischi per gli interessati, è necessaria la notifica al Garante. Principali rischi per diritti e libertà degli Interessati conseguenti ad una violazione:
  • danni fisici, materiali o immateriali alle persone fisiche;
  • perdita del controllo dei dati personali;
  • limitazione dei diritti, discriminazione;
  • furto o usurpazione d’identità;
  • perdite finanziarie, danno economico o sociale;
  • decifratura non autorizzata della pseudonimizzazione;
  • pregiudizio alla reputazione;
  • perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari).
  • rischio elevato: in presenza di rischi “elevati”, è necessaria anche la comunicazione agli interessati. I rischi per i diritti e le libertà degli interessati possono essere considerati “elevati” quando la violazione può, a titolo di esempio:
  • coinvolgere un rilevante quantitativo di dati personali e/o di soggetti interessati;
  • riguardare categorie particolari di dati personali;
  • comprendere dati che possono accrescere ulteriormente i potenziali rischi (ad esempio, dati di localizzazione, finanziari, relativi alle abitudini e preferenze);
  • comportare rischi imminenti e con un’elevata probabilità di accadimento (ad esempio, rischio di perdita finanziaria in caso di furto di dati relativi a carte di credito);
  • impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (ad esempio, pazienti, minori, soggetti indagati).

Risulta quindi evidente che, nel frangente di una violazione, poter ricorrere ad una preventiva classificazione del rischio relativo sarà di grande aiuto per prendere le decisioni corrette nei tempi prescritti.

Resta tuttavia inteso che ciò non esaurisce le analisi da condurre al momento in cui si verifica la violazione, che dovranno tenere conto anche di elementi di contesto, ovviamente non preventivabili.

La stessa classificazione potrà anche essere opportunamente integrata nel registro dei trattamenti, all’interno del quale già saranno presenti alcuni dati obbligatori secondo l’art. 30 del GDPR, quali le categorie di dati particolari, il tipo di interessati, la presenza di dati di minori ecc.

Vero è che, a rigore, l’eventuale violazione non riguarderà i trattamenti ma i dati e gli asset (cartacei o digitali) che li contengono; tuttavia, considerando il registro dei trattamenti il documento base su cui poggia l’intero apparato gestionale della data protection (analisi dei rischi, misure di sicurezza, nomine dei responsabili esterni, informative e consensi ecc.) appare conveniente rapportare anche questa classificazione al registro stesso.