La gestione di una violazione dei dati è un processo strutturato che richiede preparazione. La priorità è la predisposizione di un piano di risposta che consenta di agire con celerità per rispettare il termine delle 72 ore, di condurre una valutazione del rischio solida e documentata, e di implementare misure preventive e correttive efficaci. La documentazione di ogni incidente è un obbligo inderogabile e uno strumento fondamentale per dimostrare la conformità e per il miglioramento continuo del sistema privacy.
Definizione e Tipologie di Violazione
Una violazione dei dati personali è un incidente di sicurezza che comporta la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso accidentale o illecito a dati personali trasmessi, conservati o comunque trattati.
Le violazioni si classificano in tre categorie fondamentali:
- Violazione della Riservatezza: Divulgazione o accesso non autorizzato o accidentale ai dati.
- Violazione dell’Integrità: Alterazione non autorizzata o accidentale dei dati.
- Violazione della Disponibilità: Perdita accidentale o non autorizzata dell’accesso ai dati o loro distruzione.
Responsabilizzazione (Accountability) e Conseguenze
In caso di violazione, il Titolare del trattamento può essere ritenuto responsabile per la mancata implementazione di misure di sicurezza adeguate, anche se vittima di un attacco informatico. Le conseguenze includono:
— Misure correttive e sanzioni amministrative da parte dell’Autorità di controllo (Art. 83 GDPR).
— Diritto al risarcimento del danno per gli interessati che abbiano subito un pregiudizio materiale o immateriale.
Il Titolare può essere esonerato dalla responsabilità solo se dimostra che il danno non è a lui imputabile.
Piano di Risposta e Obbligo di Notifica
È obbligatorio predisporre un piano di risposta agli incidenti che definisca ruoli, responsabilità e procedure da attivare.
L’obbligo di notifica è regolato dalla “regola delle 72 ore”:
A) Notifica all’Autorità di controllo: Deve essere effettuata entro 72 ore dalla conoscenza della violazione, tramite l’apposito modulo disponibile sul sito del Garante per la privacy. In caso di ritardo, è necessario fornire le motivazioni. Le informazioni possono essere fornite in fasi successive se non tutte sono immediatamente disponibili.
B) Comunicazione agli Interessati: È obbligatoria senza indebito ritardo solo qualora la violazione comporti un rischio elevato per i diritti e le libertà delle persone fisiche. In casi di sforzo sproporzionato (es. numero elevatissimo di interessati), è possibile ricorrere a forme di comunicazione equivalente, come un annuncio pubblico.
Valutazione del Rischio
Il Titolare deve condurre un’indagine immediata per valutare la probabilità e la gravità dell’impatto sui diritti e le libertà degli interessati. La valutazione deve considerare:
- Tipologia e volume dei dati coinvolti (con particolare attenzione alle categorie particolari).
- Numero di interessati e potenziali destinatari dei dati.
- Conseguenze potenziali (es. furto d’identità, discriminazione, danni finanziari o reputazionali).
- Il rischio potenziale viene classificato in base a una scala (basso, medio, alto, molto alto) che determinerà le successive azioni da intraprendere.
Obblighi Documentali e Misure di Mitigazione
Registro delle Violazioni: Tutte le violazioni, anche quelle a basso rischio, devono essere documentate. La documentazione deve includere i fatti circostanziati, gli effetti e le azioni correttive intraprese, ed è fondamentale per dimostrare la conformità al GDPR (accountability).
- Misure Tecniche e Organizzative: La migliore strategia è la prevenzione, attraverso l’implementazione di misure proporzionate al rischio, quali:
- Backup per mitigare le violazioni di disponibilità e integrità.
- Crittografia per proteggere la riservatezza dei dati.
- Politiche di controllo degli accessi e registri di audit.
- Formazione continua del personale.
Dopo un incidente, è cruciale analizzare l’efficacia delle misure adottate e migliorare continuamente il framework di sicurezza
Rapporti con il Responsabile del Trattamento
Il Responsabile del trattamento ha l’obbligo contrattuale di comunicare tempestivamente al Titolare ogni violazione di cui venga a conoscenza. Spetta però esclusivamente al Titolare valutare la violazione e, se del caso, procedere alla notifica all’Autorità di controllo e alla comunicazione agli interessati. Il contratto che lega le parti deve disciplinare chiaramente questi obblighi di cooperazione e supporto.
