La procedura di data breach, ove correttamente impostata, è sufficiente per garantire la conformità dell’organizzazione ai sensi degli artt. 33 e 34 GDPR? Perché sia efficacemente attuata, innanzitutto dovrà essere diffusa, inserita nelle politiche di sensibilizzazione e formazione degli operatori, dunque verificata. Dal momento che l’art. 24.1 GDPR richiede che ogni misura messa in atto dal titolare del trattamento sia oggetto di riesame ed aggiornamento “qualora necessario”, occorre stabilire dei parametri di valutazione. Buone pratiche suggeriscono di inserire quanto meno e in parallelo un elemento temporale fisso, quale può essere ad esempio un riesame a cadenza annuale, dunque un elemento derivante dal cambio di contesto che può collegarsi ad un mutamento dello scenario di rischio ai sensi dell’art. 32 GDPR.
Il riesame della procedura avviene tenendo conto dello storico dei riesami precedentemente posti in essere nonché dei riscontri derivanti dagli indicatori presi come parametri di valutazione per il monitoraggio, stabiliti già in sede di progettazione e a loro volta passibili di modifiche e aggiornamenti. L’idoneità della procedura deve essere innanzitutto valutata per rispondere ai criteri indicati dalla norma, dunque da quelli rispondenti agli standard di sicurezza correnti. A fronte di un’attività di continua riesame, è possibile individuare nel tempo le opportunità di miglioramento nonché alcune esigenze di allocazione (o riallocazione) di risorse che possono essere destinate allo scopo di approfondire o ampliare la capacità di rilevazione o di valutazione delle violazioni.
Dal momento che la procedura di data breach è caratterizzata dall’attivarsi in reazione ad una potenziale violazione di dati personali, è solo nella fase successiva alla prima implementazione che sarà possibile monitorare ed aver contezza delle criticità. Gli aspetti principali da monitorare sono l’attuazione operativa, l’adeguatezza rispetto agli scopi e la coerenza con il sistema di gestione adottato.
Non è infrequente, ad esempio, che all’esito di un’attività di riesame si possano evidenziare dei problemi di coordinamento operativo che comportano elevati costi in termini di ore-uomo. È possibile però cogliere uno o più spunti per procedere ad una semplificazione e/o automazione di alcuni passaggi, in ottica non solo di efficienza bensì – nella maggior parte dei casi – di efficacia in quanto è possibile prevenire “blocchi” o “ingorghi” del flusso informativo e decisionale.
È opportuno ricordare che una corretta gestione del data breach non è solo una garanzia della compliance GDPR ma è altresì un elemento di sicurezza, rientrando in un più ampio quadro e processo di incident management, facendo riferimento all’ambito specifico delle violazioni di dati personali.
