Fra le nuove discipline introdotte dal GDPR, quella sulla violazione dei dati personali (Data Breach) è apparentemente una delle meno controverse. A differenza della pratica della DPIA o della figura del DPO, sulle quali sono fiorite ampie discussioni, sul Data Breach sembra tutto chiaro. Infatti non risultano tracce di dibattito. Persino le Linee Guida WP250 (adottate dal WP29 il 3/10/17) chiariscono e dettagliano ma aggiungono poco. Ma vediamo se è proprio tutto così scontato. Partiamo da come viene normalmente chiamata questa materia: "Notifica del data breach". Corretto: infatti l'art.33 del GDPR si chiama appunto "Notifica
di una violazione dei dati personali all'autorità di controllo". E il contenuto dell'articolo stesso, sin dal primo comma, di questo tratta: obbligo per il Titolare di notifica al Garante, obbligo per il Responsabile di informare il Titolare, contenuto della notifica, modalità di fornitura delle informazioni, documentazione delle violazioni. Poi c'è il 34, relativo alla comunicazione delle violazioni agli interessati. Nessuna prescrizione su misure tecniche e/o organizzative da adottare per prevenire, individuare o gestire le violazioni. Non dimentichiamoci tuttavia che lo spirito dell'intero Regolamento è quello di esporre i principi, lasciando al Titolare la scelta delle modalità da adottare per rispettare i principi. Vogliamo quindi supporre che il legislatore abbia inteso dire qualcosa tipo "non c'è bisogno di fare nulla per prevenire o contrastare le violazioni, basta che quando accadono mi mandi la notifica"? Evidentemente no, anche perché gli artt. 33 e 34 (nell'ambito della Sezione 2 del GDPR, dedicata alla Sicurezza dei dati personali) sono preceduti dal 32, che prescrive al Titolare (ed al Responsabile) di mettere in atto "misure tecniche e organizzative adeguate per garantire un livello di
sicurezza adeguato al rischio". Teniamo inoltre in considerazione il contesto nel quale il Titolare si troverà a dover predisporre ed inviare la famosa notifica al garante. Si tratta certamente di un contesto di crisi, per due diversi motivi: 1) se c'è stata una violazione della sicurezza, bisogna agire con tempestività; 2) il GDPR prescrive tempi strettissimi (72 ore) per l'invio della notifica. In questa situazione il Titolare ha di fronte due possibilità: affrontare la questione solo nel momento in cui si verifica, improvvisando sul momento prassi e responsabilità, oppure predisporre ruoli e procedure. Comprenderete allora perché sia opportuno adottare preventivamente alcune misure. Vediamo quali:
Fra le misure organizzative da prevedere in procedura, particolare rilevanza assume la Classificazione dei Rischi; si tratta di una distinzione niente affatto accademica, che ha invece conseguenze concrete ai fini della getione della violazione (e relativa notifica).Rischio ASSENTE: la notifica al Garante non è obbligatoria solo nei casi in cui è possibile comprovare la totale mancanza di rischi. Rischio PRESENTE: in presenza di rischi per gli interessati, è necessaria la notifica al Garante.
Rischio ELEVATO: In presenza di rischi “elevati”, è necessaria la comunicazione agli interessati. Nel momento in cui il titolare del trattamento adotta sistemi di crittografia dei dati, e la violazione non comporta l’acquisizione della chiave di decrittografia, la comunicazione ai soggetti interessati non sarà un obbligo. I rischi per i diritti e le libertà degli interessati possono essere considerati “elevati” quando la violazione può, a titolo di esempio:
Risulta evidente che nel frangente di una violazione, poter ricorrere ad una preventiva classificazione del rischio relativo ad ogni trattamento sarà di grande aiuto per prendere le decisioni corrette nei tempi prescritti. La classificazione potrà essere opportunamente integrata nel Registro dei Trattamenti. Vediamo come attrezzarsi per la gestione dell'evento, al momento del suo verificarsi. Il flusso di attività da seguire in caso di violazione ai dati può essere suddiviso in 5 fasi:
![]() |
News >