Notifica Data breach: quali informazioni sono utili? Come farla? Analisi della procedura telematica prevista dal Garante Privacy

Data breach: doverosa premessa

Prima di iniziare, una defizione "tecnica". Un data breach si verifica ogni volta che acade una violazione di dati personali. La violazione può essere della sicurezza dei dati, della loro integrità o riservatezza. Non v'è alcuna differenza rispetto al fatto che il data breach sia avvenuto accidentalmente oppure con intenzioni volutamente illegittime.

Sono casi di data breach (l'elenco non è esaustivo):

• distruzione di dati
• tentativo di furto o furto
• divulgazione eed esposizione dei dati
• accessi non autorizzati
• smarrimento di dispositivi contenenti dati personali ecc…

Per approfondire > Cosa fare in caso di violazione dati personali (Data breach)?

Data breach: guida pratica per la notifica. Cosa fare appena scoperto un data breach?

• Registrare l'evento
  La prima cosa da fare, a prescindere da quanto sia grave l'evento, è la registrazione interna del data breach. Il titolare deve sempre ricordare che, per il GDPR, è responsabile dei dati che gli utenti gli affidano. E' il principio di accountability, come previsto dall'art. 24 GDPR. Per onorare il principio di responsabilità, il titolare del trattamento deve appunto registrare il data breach (avendo dovere di rendicontazione) e adottare adeguate contromisure,a partire dal dovere di valutare circostanze e impatto del data breach.
• Tempistiche di notifica del data breach
  L'art 33 GDPR prevede il dovere di notifica del data breach all'autorità Garante entro 72 ore dal momento in cui è stata scoperta la violazione se c'è “rischio per i diritti e le libertà delle persone fisiche".Non solo: l'art 34 prevede che se la violazione presenta "rischio elevato", il titolare ha l'obbligo di comunicarla anche agli interessati senza ingiustificato ritardo.
• Una prima autovalutazione
  Prima di procedere a notifica, il titolare del trattamento deve effettuare un'autovalutazione (sempre in nome dle principio di accountability). Per questa attività il titolare del trattamento può farsi affiancare, ad esempio in caso in cui sia stato nominato un Data Protection Officer.

Sottolineiamo qui un punto importante: il titolare del trattamento non deve solo rispettare le previsioni del GDPR. Il principio di accountability lo obbliga anche a dimostrare di aver rispettato gli obblighi normativi. In corso di autovalutazione quindi sarà essenziale anche produrre documentazione utile a "provare" il rispetto del GDPR.

Notifica al Garante : la procedura tematica

Veniamo al dunque: come si notifica un data breach al Garante?

Il Garante per la protezione dei dati personali ha messo a disposizione dei titolari del trattamento una serie di strumenti telematici per la notifica dei data breach. Per iniziare, possiamo fare riferimento al Provvedimento del 27 maggio 2021 (consultabile integralmente qui) con il quale il Garante annuncia strumenti e protocolli per facilitare le operazioni di notifica.

Quindi, se il titolare accerta che il data breach subito rientri nelle fattispecie che sono da notificare, dovrà, per cominicare, collegarsi al sito web del Garante. L'Autorità ha creato una pagina apposita, che contiene una guida rapida ma anche un servizio telematico di notifica. La pagina è disponibile qui.

La pagina tematica si divide in sei aree:

• strumento di autovalutazione (self assessment):
  è molto utile, soprattutto in quei casi in cui il titolare del trattamento non ha la certezza di essere sottoposto all'obbligo di notifica.Lo strumento, tramite una procedura guidata, può portare alla notifica al Garante oppure può notificare al titolare del trattamento la mancata necessità di notifica, se il data breach subito non rientra nei casi previsti;
• compilazione della notifica:
  la notifica vera e propria. Occorre un autenticazione con firma digitale del titolare (per adesso, ma sono in implementazioni altri strumenti, come l'uso di CIE, SPID ecc…);
• istruzioni:
  le indicazioni del Garante per compilare la notifica. Elenca i browser supportati, le procedure necessarie a formalizzare la notifica, eventuali notifiche integrative ecc…;
• Informativa sul trattamento dei dati personali:
  del Garante privacy. L'autorità infatti dovrà trattare dati personali per poter procedere ad esaminare la notifica ricevuta;
• pagina informativa sul data breach:
  riporta alla pagina del Garante Privacy dedicata al data breach;
• Fac-simile del modello di notifica:
  ospita un odello di notifica consultabile senza obbligo di formalizzarne la compilazione. E' un modello, un esempio, non utilizzabile per l'invio al Garante.

Quali informazioni sono utili per la notifica?

Le prime informazioni utili richieste dal Garante sono i dati del soggetto notificante, l'identità del titolare del trattamento, i dati di contatto del DPO (se nominato), ulteriori soggetti coinvolti nel trattamento come i responsabili del trattamento ecc… In seguito sono utili informazioni sul tipo di data breach subito e sulle probabili conseguenze.

Il titolare però deve anche, come dicevano poco sopra, dimostrare di aver rispettato le previsioni del GDPR. Ecco perchè al momento di compilare la notifica, deve elencare anche tutte le misure tecniche ed organizzative implementate a protezione dei dati e per scongiurare ulteriori incidenti.

Il modello proposta dal Garante riporta, in 25 pagine, la richiesta di tutte queste informazioni ed è utilissimo a comprendere quali dati e documenti preparare per la notifica.