Se è vero che essere in grado di assicurare una corretta capacità di rilevazione degli eventi di violazione di sicurezza è una condizione necessaria per la gestione di un data breach, un passaggio altrettanto fondamentale da dover riscontare in ogni procedura richiesta dagli artt. 33 e 34 GDPR consiste nel predisporre una fase di valutazione dell’evento. Tale passaggio può coinvolgere risorse esclusivamente interne o – come più comunemente accade nelle PMI – anche risorse esterne, e compone il processo decisionale che rimane responsabilità del titolare del trattamento e degli eventuali contitolari.
Per quanto una valutazione venga richiesta anche dalle violazioni di sicurezza che riguardano sistemi informativi riguardanti dati non di carattere personale, è bene precisare che nell’ambito del trattamento di dati personali i criteri di riferimento sono obbligatori in quanto derivano dall’applicazione di una norma imperativa. Di conseguenza, la sua mancata implementazione ed applicazione espone a conseguenze sanzionatorie.
La valutazione riguarda il rischio – considerato come probabilità e gravità di impatto – per i diritti e le libertà dei soggetti coinvolti dalla violazione, deve pertanto quanto meno prendere in considerazione i seguenti fattori:
- tipo di violazione (confidenzialità, integrità, disponibilità);
- natura, carattere sensibile e volume dei dati personali compromessi;
- facilità di identificazione delle persone fisiche;
- gravità delle conseguenze per le persone fisiche;
- categorie degli interessati coinvolti, soprattutto se vulnerabili;
- caratteristiche del titolare del trattamento;
- numero di persone fisiche interessate.
Il soggetto che svolge tale valutazione deve essere individuato dall’organizzazione, con un’attribuzione di responsabilità e conferimento di istruzioni e accesso agli asset che consentano l’effettivo svolgimento dei compiti assegnati. Qualora il trattamento coinvolga dei responsabili, sarà necessario che il valutatore possa agire in autonomia per raccogliere tutte le informazioni utili a concludere tempestivamente (e dunque: entro le 72 ore prescritte dall’art. 33 GDPR) la decisione circa il riscontro di un rischio per gli interessati e la conseguente sussistenza di un obbligo di notifica all’autorità di controllo.
Qualora dall’esito dell’analisi venga riscontrato un rischio elevato per gli interessati, la comunicazione ai sensi dell’art. 34 GDPR deve essere svolta in parallelo rispetto alla fase di investigazione dell’incidente e di notifica, potendo anche anticipare il termine delle 72 ore.
In questa fase (in quanto rientrante fra le “questioni riguardanti la protezione dei dati personali”, come da previsione dell’art. 38.1 GDPR), il Responsabile della protezione dei dati deve essere coinvolto con funzione consulenziale e di second opinion con riferimento alla valutazione resa. Qualora l’organizzazione si discosti dal parere reso dovrà essere in grado di argomentare le motivazioni di tale scelta attraverso evidenze complete e non contraddittorie.
