Nella predisposizione dei sistemi per la gestione degli adempimenti da GDPR, fin troppo spesso si trascura il ruolo del registro delle violazioni tanto nella fase preliminare di progettazione delle misure da implementare per garantire la conformità normativa quanto nella successiva attività di riesame.
La fonte dell’obbligo di redazione di tale documento si trova all’interno della disposizione dell’art. 33.5 GDPR, secondo cui “Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio”. I contenuti essenziali del documento sono pertanto già puntualmente indicati dalla norma, ovverosia: evento di violazione, circostanze, conseguenze, provvedimenti adottati. Ovviamente, è possibile per ciascun titolare aggiungere ulteriori informazioni secondo le proprie esigenze organizzative e in coordinamento con le procedure interne.
L’opportunità di arricchire il registro declinando i contenuti prescritti ed inserendo ulteriori campi, al fine di renderlo quanto più completo e funzionale possibile alle esigenze dell’organizzazione, reca due principali vantaggi.
Prima di tutto, con la raccolta all’interno del registro delle evidenze e dei riscontri utili a rendicontare gli adempimenti svolge un’importante funzione di accountability per la corretta gestione degli obblighi relativi alle violazioni di dati personali, come richiamato dalla chiosa del già citato art. 33.5 GDPR secondo cui “Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.”. In caso di attività ispettiva, dunque, rientra nel novero dei documenti da esibire e produrre, soprattutto se l’attività di accertamento deriva da un evento di violazione dei dati.
Inoltre, inserire campi ulteriori può consentire di avere una traccia dell’evento occorso e dei processi decisionali del titolare del trattamento, raccordando il documento con la procedura di data breach. Dal momento che la decisione circa la notifica della violazione all’autorità di controllo deve essere adottata entro 72 ore dalla rilevazione dell’evento, avere già all’interno del registro una valutazione degli impatti per le persone fisiche e i contenuti indicati dall’art. 33.3 GDPR, non può che portare giovamento alla tempestività dell’adempimento e va letto ed interpretato dunque come un presidio di conformità adottato dal titolare.
Le organizzazioni che si sono dotate di un DPO, inoltre, all’interno dei moduli, della procedura e del registro di data breach riservano un campo al parere del DPO circa il corretto adempimento degli obblighi di cui agli artt. 33 e 34 GDPR proprio nell’ottica di documentare le decisioni del titolare del trattamento oltre che di dimostrare l’effettivo coinvolgimento del proprio DPO. Un’analisi delle violazioni occorse in un determinato arco temporale è funzionale alla verifica di efficacia di un remediation plan o, più generalmente, all’attività di valutazione e riesame delle misure di sicurezza predisposte.
