Metodologie

GDPR – La gestione dei Data Breach: notifica all’Autorità e comunicazione agli interessati

La sezione del GDPR dedicata alla sicurezza delle informazioni, composta da diversi articoli, non può essere considerata per parti separate: la corretta applicazione degli articoli 33 e 34 ha le radici nella corretta applicazione dell’articolo 32. Se la strategia di sicurezza non prevede interventi migliorativi della capacità dell’organizzazione di accorgersi delle violazioni di sicurezza subite, anche le energie dedicate a organizzare al meglio la gestione dei Data Breach rischiano di essere sprecate

Pubblicato il 03 Apr 2018

Data Breach GDPR

La sezione del GDPR dedicata alla sicurezza dei dati personali è composta da tre articoli: uno, l’art. 32, dedicato alle misure di sicurezza, i due successivi dedicati alla gestione delle violazioni di sicurezza.

È bene ricordarlo sempre e mantenere, nell’affrontare gli articoli dedicati alla gestione dei Data Breach, una prospettiva complessiva: nell’articolo 32, cioè nella necessità di avere una strategia per la sicurezza delle informazioni basata sull’analisi dei rischi, stanno, infatti, le premesse degli articoli 33 e 34, centrati sulla notifica all’Autorità di controllo e l’eventuale comunicazione agli interessati.

Una strategia di sicurezza deve essere onnicomprensiva. Deve riguardare, cioè, la prevenzione, la capacità di rilevare le violazioni e, infine, la reazione di contrasto dell’attacco e di mitigazione degli effetti.

Una strategia di sicurezza a 360 gradi

La gestione dei Data Breach, per come è regolata dall’art. 33, è un’azione del Titolare che, però, può svilupparsi solo quando il Titolare viene a conoscenza di un evento di sicurezza. Detto questo, è necessario occuparsi del fatto che le statistiche internazionali ci dicono che il tempo che le organizzazioni impiegano ad accorgersi di una violazione è mediamente di 201 giorni.

Se la strategia di sicurezza di cui all’art. 32 non include misure volte a incidere su questo indicatore, se cioè non prevede interventi migliorativi della capacità dell’organizzazione di accorgersi delle violazioni di sicurezza subite, allora anche le energie dedicate a organizzare al meglio la gestione dei Data Breach rischiano di essere sprecate.

Non solo: anche la pretesa del Titolare di non essere corresponsabile dei danni prodotti dalla violazione rischia di essere minata alla base.

Non vi è conformità all’articolo 32 né corretta applicazione degli articoli 33 e 34 se la strategia di sicurezza posta in essere dal Titolare non include in modo integrato misure di prevention, detection e reaction del Data Breach che siano complessivamente adeguate.

Data Breach: valutazione discrezionale, ma attenzione

Venendo ora al tema specifico della gestione dei Data Breach, più che l’indicazione delle 72 ore come tempo massimo (a meno di giustificazioni) per la notifica dei Data Breach all’Autorità di Controllo, è opportuno sottolineare l’inciso che segue, nell’articolo, tale prescrizione: “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Questo inciso obbliga il Titolare a una valutazione discrezionale che consente di evitare un eccesso di notifica che rischierebbe di vanificare la norma. Lo espone, però, al rischio di non notificare un evento che, contro ogni aspettativa, potrebbe risultare, successivamente, in un danno per i diritti e le libertà di cui sopra.

Essendo evidente che l’esercizio di questa discrezionalità non può essere caricato sulle spalle di coloro che operativamente si trovino a gestire il Data Breach (in condizioni di emergenza e gravati della necessità di rispettare le 72 ore) risulta altrettanto chiaro che la casistica degli eventi debba essere classificata anticipatamente e la risposta dell’organizzazione debba essere predefinita dal Titolare con una decisione formale, sostenuta da argomentazioni adeguate di cui il Titolare stesso si assuma la responsabilità.

La fondatezza delle argomentazioni sarà la base su cui costruire la non responsabilità del Titolare anche a fronte del verificarsi della situazione improbabile descritta sopra.

Più importante è, comunque, occuparsi di un altro profilo di responsabilità del Titolare in caso di Data Breach, quello che si sostanzia a fronte di una inadeguata capacità di reazione all’evento di sicurezza, a partire dal momento in cui il Titolare ne viene a conoscenza.

Il tempo che intercorre fra la scoperta della violazione e il momento in cui l’ultimo degli interessati è posto nella condizione di adottare le misure di autotutela a sua disposizione (disattivare una carta di credito, cambiare la password, …) se non è ridotto al minimo da misure di contrasto, contenimento e mitigazione poste in essere sollecitamente dal Titolare, può diventare un tempo che delinea per il Titolare una sorta di corresponsabilità e lo espone a richieste di risarcimento.

Sotto questo profilo, la comunicazione agli interessati, normata dall’art. 34, è solo uno degli aspetti della strategia di reazione ai Data Breach che una politica di sicurezza adeguata deve considerare; e le sanzioni, eventualmente derivanti da un’applicazione non corretta dell’articolo (solo una e neppure la principale delle esposizioni del Titolare conseguenti al Data Breach) possono avere un impatto importante sull’azienda: anche un piccolo risarcimento a milioni di possessori di carte credito potrebbe risultare ben più rilevante.

In sintesi, dunque, la corretta applicazione degli articoli 33 e 34 ha le radici nella corretta applicazione dell’articolo 32: la sezione del GDPR dedicata alla sicurezza delle informazioni si tiene tutta insieme e non può essere considerata per parti separate.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4