Ogni procedura di gestione di un data breach richiede che sia definito – già in fase di progettazione ed impostazione della stessa – quale output deve essere auspicabilmente prodotto. Solo definendo la fase di chiusura è infatti possibile lo svolgimento delle successive verifiche e dei controlli allo scopo di monitoraggio di efficienza e programmazione di eventuali miglioramenti sia con riferimento alla procedura che più in generale alla gestione della sicurezza.
In quale momento e con quale evidenza si può concludere un evento di data breach? Certamente, la registrazione dell’incidente prescinde da qualsiasi esito della valutazione e conseguente scelta di notifica all’autorità di controllo e eventuale comunicazione agli interessati, pertanto può ben essere presa come fase di chiusura della procedura. Quanto il titolare del trattamento deve essere in grado di documentare – volendo richiamare la dimostrabilità degli adempimenti richiesta dal principio di accountability – va riferito pertanto all’intero processo decisionale che segue l’evento di violazione di dati personali occorso e fonda le azioni intraprese, fra cui rientrano anche tutte le misure di mitigazione adottate. Nell’ipotesi di notifica preliminare, ovverosia nel caso in cui l’analisi dell’incidente non sia completata entro 72 ore e comunque si ravvisi un rischio per i diritti e libertà degli interessati, l’integrazione della stessa e la documentazione a supporto sono elementi significativi che devono essere oggetto di registrazione per la comprova degli adempimenti svolti.
Ma in che modo è possibile documentare? Uno spunto può essere offerto dalle definizioni fornite dalla norma ISO 9000:2015 sui termini di evidenza oggettiva, ovverosia i “dati che supportano l’esistenza o la veridicità di qualcosa” (punto 3.8.3) e di informazioni documentate, ovverosia le “informazioni che devono essere tenute sotto controllo e mantenute da parte di un’organizzazione” (punto 3.8.6). Posti così tali comuni denominatori minimi, ovviamente la selezione del mezzo – e dunque: la formazione del documento – altro non è che un atto di organizzazione per garantire la conformità al GDPR i cui contenuti dovranno quanto meno corrispondere alle indicazioni di cui all’art. 33.3 GDPR.
Circa i soggetti che devono essere informare della chiusura della procedura, occorre certamente coinvolgere il Responsabile della protezione dei dati, se presente, e in ogni caso la Direzione o più in generale i vertici dell’organizzazione. Qualora si sia deciso per l’adozione di un piano di mitigazione, l’esito dello stesso dovrà essere oggetto di successiva registrazione all’interno della documentazione della violazione occorsa.
Infine, è bene ricordare che tutta la documentazione così formata può (anzi: deve) essere monitorata affinché si possa valutare la tendenza delle violazioni in un più ampio quadro di verifica e riesame della sicurezza dei sistemi informativi ai sensi dell’art. 32 GDPR.
