Dal 1° luglio, l’Autorità Garante per la protezione dei dati personali ha pubblicato sul proprio sito web il nuovo servizio telematico dedicato alla notifica di data breach, così da agevolare i titolari del trattamento a compiere tutti gli adempimenti richiesti dalle prescrizioni normative dell’art. 33 GDPR e, facendo riferimento alle attività di trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, dell’art. 26 d.lgs. 51/2018 (il quale recepisce la Dir. 2016/680).
L’aggiornamento della pagina informativa istituzionale, nonché delle istruzioni relative alla procedura e il nuovo modello di notifica, così come il questionario di autovalutazione degli eventi di data breach sono tutti strumenti che devono essere integrati all’interno di un’organizzazione affinché possa essere in grado di gestire correttamente (e con tempestività) gli obblighi collegati alle violazioni di sicurezza che possono coinvolgere dati personali.
Tutto ciò comporta pertanto l’occasione di condurre un’attività di riesame delle procedure adottate, affinché si possano correggere e precisare beneficiando delle nuove indicazioni e strumenti posti a disposizione da parte dell’Authority. Ma in che modo?
Innanzitutto, nell’assegnare ruoli e responsabilità all’interno della propria organizzazione, sarà ancor più necessario individuare tanto il soggetto che deve compilare la (bozza di) notifica quanto poi distinguere, in modo chiaro e specifico, tutti i compiti e i doveri assegnati a ciascun operatore che interviene nella procedura. Dopodiché la stessa procedura, aggiornata con le precisazioni richieste dal caso, deve essere oggetto di diffusione presso l’organizzazione in modo tale che tutto il personale che interviene nelle operazioni svolte sui dati personali sia non solo a conoscenza della stessa ma sia anche in grado di applicarla. Sul punto, la verifica dovrà riguardare la sensibilizzazione e formazione su più livelli: per gli operatori, ad esempio, circa la capacità di riconoscere una violazione di sicurezza; per i soggetti che hanno funzione decisionale, invece, circa la capacità di valutare l’evento ed essere a conoscenza dei conseguenti obblighi.
È opportuno ricordare che l’obbligo che grava sul titolare del trattamento di documentare ogni violazione non presenta deroghe, e per l’effetto ogni evento deve essere adeguatamente rendicontato (e dunque: registrato e valutato) a prescindere dall’obbligo di notifica. Infine, va considerato che il termine delle 72 ore dalla rilevazione dell’evento di data breach per effettuare la notifica richiede un assetto organizzativo reattivo (e dunque: procedure di incident management), tanto dal lato tecnologico che delle risorse umane coinvolte. Anche perché un’eventuale tardività della notifica deve essere accompagnata dai motivi del ritardo, mentre la mancata capacità di tempestiva rilevazione non è scusabile in quanto, ovviamente, comporta una violazione circa gli obblighi di garantire la sicurezza del trattamento (artt. 5.1 lett. f) e 32 GDPR).
