Già in passato mi sono occupato del tema “data breach“: potete, ad esempio, leggere il mio articolo “Data breach: indicazioni dal Garante“, che tratta delle corrette modalità con cui deve essere notificato agli interessati un evento di data breach e, soprattutto, quali sono gli errori da evitare.
Oggi, invece, voglio occuparmi del recente provvedimento del nostro Garante che, poco prima della pausa estiva, ha pubblicato sul proprio sito il modello ufficiale di notifica data breach” (letteralmente, di “notifica di una violazione dei dati personali ai sensi dell’art. 33 del Regolamento UE 2016/679” – ai più noto come il “famigerato” GDPR).
Per facilitarvi il recupero del modello pubblicato dal Garante in una sezione del sito non particolarmente intuitiva, potete scaricarlo direttamente dalla nuova sezione del Blog “modelli e utilità“.
Il modello di notifica al Garante si compone di 13 pagine, con molti campi da compilare, ma solo dopo aver scaricato il file .pdf editabile sul proprio PC (insomma, non compilatelo on-line o farete un lavoro inutile).
Nel modello si distinguono le seguenti aree principali:
- tipologia della notifica (preliminare, completa, integrativa);
- soggetti coinvolti nel trattamento (titolari, contitolari, responsabili, rappresentanti del titolare non stabilito in UE);
- informazioni di sintesi della violazione (quando e come è avvenuta la violazione, quando e come è stata scoperta, in cosa è consistita la violazione);
- natura della violazione (perdita di confidenzialità, di integrità o di disponibilità). Non vi sfuggirà che questa distinzione richiama con tutta evidenza i criteri ENISA sulla valutazione del rischio, in merito ai quali potete leggere, se avete tempo, il mio articolo “I criteri ENISA al servizio della protezione dei dati“;
- cause della violazione (intenzionale interna, accidentale interna; intenzionale esterna, accidentale esterna; sconosciuta, altro);
- categorie di dati personali oggetto della violazione;
- volumi (da intendere come quantità in numero di file, database, etc.) di dati personali violati;
- categorie di interessati coinvolti;
- numero di interessati coinvolti.
Segue, poi, una parte a componimento più libero, nella quale è possibile descrivere diffusamente l’evento di data breach e le sue possibili conseguenze – anche in questo caso, seguendo la tripartizione “confidenzialità, integrità e disponibilità” fatta propria dai criteri ENISA di cui accennavo sopra – nonché le misure (di contenimento, di rimedio e di prevenzione futura) adottate.
L’ultima parte è, infine, dedicata alle informazioni in merito alla comunicazione dell’evento di data breach agli interessati e sull’ampiezza geografica della violazione (nazionale o europea), con richiesta di indicazione delle Autorità che sono state eventualmente già coinvolte nella segnalazione (altre Autorità indipendenti, Autorità Giudiziaria o di Polizia, etc.).
Indubbiamente il modello di notificazione dell’evento di data breach pubblicato dal Garante a fine luglio 2019 ha una indiscutibile utilità pratica, perché consente a chi si trova nella condizione di dover segnalare la violazione, di non omettere informazioni essenziali ed anche di porsi tutte le domande richieste dalla situazione di crisi, anche nell’ottica di impostare una reazione immediata, finalizzata al contenimento degli effetti lesivi per gli interessati.
Vi segnalo, inoltre, che il modello di notifica, una volta completato in ogni sua parte, dovrà essere sottoscritto con firma elettronica qualificata o digitale e inviato al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it, con l’oggetto (obbligatorio) “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del Titolare del trattamento.
Se la firma sul modello di notifica viene apposta in modo autografo, occorrerà anche allegare al modello la copia del documento d’identità del firmatario.
Occorre, peraltro, ricordare che non tutte le violazioni devono essere notificate al Garante.
Gli eventi di data breach, infatti, devono essere notificati al Garante solo quando possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali, quali: perdita del controllo sui propri dati personali, limitazione di alcuni diritti, discriminazione, furto d’identità, rischio di frode, perdita di riservatezza dei dati personali protetti dal segreto professionale, perdite finanziarie, danno alla reputazione o un qualsiasi altro significativo svantaggio economico o sociale.
Se vi resta ancora un po’ di tempo dopo aver letto questo articolo, potete anche leggere il mio precedente contributo sul tema dal titolo “Quando si può omettere la notifica al Garante di un evento di data breach?“, nel quale ho cercato di elencare le ipotesi concrete in cui, pur in presenza di una violazione di dati personali, esistono delle circostanze di fatto che escludono l’esigenza di segnalazione al Garante.
E’, comunque, importante tenere presente che, anche qualora non si debba procedere alla notifica al Garante, è indispensabile mantenere aggiornata, preferibilmente all’interno del Registro dei trattamenti, una sezione dedicata alla cronologia delle violazioni, dove registrare tutti gli eventi di data breach, anche quelli che non hanno richiesto la notifica al Garante o agli interessati, e ciò ai fini di apprendimento e miglioramento delle procedure di sicurezza per il futuro, in ossequio al principio di accountability.