Registro delle violazioni privacy

La violazione dei dati è la manifestazione di una vulnerabilità che ha il sistema informatico di un’organizzazione. In quel punto debole si innesta il data breach: il problema (che non è stato evitato con un’azione preventiva) va affrontato e risolto. Ma deve anche costituire un campanello d’allarme per il futuro.

Per questa ragione, il data breach va documentato: lo strumento che raccoglie la “storia” delle violazioni è un apposito registro.

La gestione del data breach

Il Gdpr detta la normativa in tema di sicurezza informatica. Il Regolamento si occupa, infatti, della necessità di saper gestire un’eventuale violazione dei sistemi. In tale ottica, il data breach management diventa uno strumento indispensabile per raccogliere tutti gli elementi e i dati, che consentono di ricostruire l’incidente e fornire all’autorità garante le informazioni per identificare con esattezza la portata dell’incidente stesso, le possibili conseguenze, nonché risalire alla dinamica dell’attacco che ha portato alla compromissione dei sistemi.

Questo obbligo ha, quindi, indotto le organizzazioni a introdurre policy e procedure dirette alla gestione di un data breach. E per la corretta gestione di un incidente di sicurezza informatica è necessario, anzitutto, essere in grado di poterne ricostruire la dinamica e valutare l’impatto.

In pratica, è necessario avere la possibilità di analizzare tutti i log di sistema che consentono di definire un quadro completo del data breach.

In particolare, secondo l’articolo 33 del Gdpr, in caso di violazione dei dati personali, “il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista) notifica la violazione all’autorità di controllo competente (il Garante per la protezione dei dati personali, nda) senza giustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Qualora la notifica superi le 72 ore, deve essere corredata dai motivi del ritardo.

Il responsabile del trattamento informa il titolare del trattamento, senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il registro delle violazioni

Il titolare del trattamento, a prescindere dalla notifica del Garante, deve documentare tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni, indipendentemente dal fatto che sia tenuto ad effettuare la notifica o meno.

Sebbene spetti al titolare del trattamento determinare quale metodo e struttura utilizzare per documentare una violazione, determinate informazioni chiave dovrebbero essere sempre incluse. Ad esempio il titolare del trattamento è tenuto a registrare i dettagli relativi alla violazione, comprese le cause, i fatti e i dati personali interessati.

Dovrebbe, altresì, indicare gli effetti e le conseguenze della violazione e i provvedimenti adottati per porvi rimedio.

Il Regolamento europeo non specifica un periodo di conservazione della documentazione, pertanto spetta al titolare del trattamento stabilire il periodo appropriato: dovrà conservare la documentazione, nella misura in cui può essere chiamato a fornire prove all’autorità di controllo in merito al rispetto della normativa oppure, più in generale, del principio di responsabilizzazione.

Peraltro, non va dimenticato che sarebbe vantaggioso tanto per il titolare del trattamento, quanto per il responsabile del trattamento, disporre una procedura di notifica documentata, che stabilisca la procedura da seguire una volta individuata una violazione, compreso come contenere, gestire e porre rimedio all’incidente, valutare il rischio e notificare la violazione.

A tal proposito, per dimostrare il rispetto del Gdpr potrebbe anche essere utile dimostrare che i dipendenti sono stati informati dell’esistenza di tali procedure e meccanismi e che sanno come reagire in caso di violazioni.

La mancata corretta documentazione di una violazione può comportare l’esercizio da parte dell’Autorità di controllo dei suoi poteri ai sensi dell’articolo 58 del Gdpr e l’imposizione di una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del Gdpr.

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

• Protezione dei dati e corsi di formazione Dpo per essere invincibili
• Business Continuity Plan: ferma le minacce alla continuità operativa
• Backup e disaster recovery: la soluzione in caso di blocco
• Ispezioni, ma con preavviso, al responsabile esterno del trattamento

Inizia con il piede giusto e scopri le best practice per la privacy e la sicurezza nel caso in cui si verifichi un data breach.

Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.