Sul piano organizzativo, la gestione del data breach investe più ambiti: sicurezza, comunicazione interna ed esterna, reporting e registrazione. Sebbene l’adempimento della notifica all’autorità di controllo non renda immuni dalle responsabilità collegate alle conseguenze di un’eventuale istruttoria e non conformità normativa, la sua corretta esecuzione – e più in generale: la predisposizione di misure adeguate a tale riguardo – consente di comprovare il rispetto dell’art. 33 GDPR e per l’effetto di non incorrere nella sanzione prevista dall’art. 83.4 GDPR di importo “fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente”.
Ma in che modo l’organizzazione può essere in grado di gestire correttamente un data breach? Qualora correttamente impostata, diffusa e aggiornata, ogni procedura per la gestione di una violazione di dati personali deve affrontare alcuni passaggi fondamentali. Tali punti sono elementi necessari per garantirne l’efficacia che possono sempre essere arricchiti, specificati e declinati da ulteriori implementazioni. Il primo, tanto per logica quanto per importanza, comporta la capacità di identificazione tempestiva della violazione con particolare riferimento alle misure tecniche e organizzative adottate.
La rilevazione di anomalie ed eventi comporta una necessaria sinergia e coordinamento fra risorse tecnologiche ed umane, in modo tale che operatori consapevoli, sensibilizzati ed addestrati possano portare tutte le informazioni utili ad una valutazione preliminare interna avvalendosi delle dotazioni in uso. Non è infrequente adottare anche una matrice RACI per l’individuazione di responsabilità, così come dei passaggi per acquisire e filtrare le informazioni rilevanti anche con il coinvolgimento di funzioni consulenziali interne o esterne. La procedura e le istruzioni operative devono pertanto essere scritte in modo chiaro e non contraddittorio, coerente – anche e soprattutto nel linguaggio – con la struttura dell’organizzazione, allegando ove possibile dei modelli di comunicazione interna.
Inoltre, qualora l’attività svolta sui dati personali coinvolga dei fornitori di servizi che assumono il ruolo di responsabili del trattamento, è necessario individuare e definire contrattualmente le modalità per assicurare l’assistenza richiesta per “garantire il rispetto degli obblighi di cui agli articoli 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento” (art. 28.3 lett. f) GDPR). Assistenza che – ovviamente – deve tenere conto della fase e l’ampiezza dell’attività delegata e per l’effetto va definita quanto meno individuando tempistiche di comunicazione, un punto di contatto e un modello per l’inserimento di tutte le informazioni utili.
È bene infine ricordare che le misure di rilevazione non possono essere statiche ma devono avere una capacità di adeguarsi dinamicamente ai mutamenti di contesto interno ed esterno, e dunque essere soggette a riesame e aggiornamento continuo.
