ANCORA DATA BREACH... riflessioni di un DPO
Matteo Alessandro Pagani
Socio Fondatore - Avvocato presso PLS Legal S.T.A. (Società tra Avvocati) S.r.l.
Richiamando quanto da me già scritto: “Data Breach: dalla Gestione dell’evento, anche potenziale, alla notifica. Spunti Operativi". Ritengo utile trasferire alcuni spunti di riflessioni imposti a seguito della mia quotidiana attività consulenziale in ambito GDPR.
Ricordo che il Data Breach è la violazione del dato e dunque quell’ “infringement” di sicurezza accidentale o dolosa che porta, tra le altre, alla distruzione, perdita, anche temporanea, del dato, alla modifica o diffusione non voluta del medesimo.
La creazione di politiche, preventive, utili alla tempestiva gestione del Data Breach, quale misura imposta dal GDPR all’art. 24, deve necessariamente tenere in considerazione anche i Considerando 85 ed 87, il Regolamento 2013, il Parere 3/2014 circa la notifica della violazione del dato, oltre alle Linee Guida febb2018 ed infine il provvedimento del Garante del 2012 circa la notifica dell’evento Data Breach rilasciato dall’Autorità per la regolamentazione del mercato di comunicazione elettronica.
Il Titolare dunque deve adottare un Incident Response Plan (IRP) che si sostanzia in politiche volte alla gestione dell’evento (art. 24 GDPR) ed alla creazione dei processi rivolti a tutti gli Interessati anche potenzialmente coinvolti che impongono in favore dei medesimi istruzioni e Guide Operative volte alla sensibilizzazione ed alla tempestività nella comunicazione dell’evento Data Breach, anche potenziale.
La redazione del IRP deve coinvolgere anche il DPO, ove presente, ed il Titolare deve prestare la massima attenzione nella redazione di tale processo. Il IRP non può trascurare le funzioni IT che, in ottemperanza all’art. 32, dovrà predisporre il proprio disaster recovery utile a provare la “resilienza dei sistemi informatici” che deve essere “cristallizzata” dimostrandone la continuità e la disponibilità.
Un esempio operativo di elementi che non possono essere trascurati nel IRP è la limitazione ai dati anche all’interno di funzioni definite così da ridurne la portata ed il rischio di diffusione.
Si ricorda infine come la responsabilità diretta dell’evento Data Breach sia in capo al Titolare così come sancito dall’art. 33 GDPR, mentre la responsabilità civile potrà essere trasferita al Responsabile solo nei casi di cui all’art. 82 del medesimo Regolamento, consigliando, sempre, che sia comunque il Titolare del Trattamento ad attivarsi per le segnalazioni imposte dal Garante.