Proseguiamo in questo articolo l’approfondimento sul Data Breach, prendendo spunto da alcune importanti indicazioni fornite dal Garante per la Protezione dei Dati Personali dei Paesi Bassi (Autoriteit Persoongegevens – di seguito indicato come AP ). L’AP, infatti, in data 17 marzo ha comunicato che solo il 60% dei registri delle violazioni, esaminati in un recente studio esplorativo, presenta adeguatamente gli elementi richiesti dalla normativa.
Ricordiamo che l’art. 33 del Regolamento UE 2016/679, riporta che “Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo”. La violazione di tale disposizione è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000€, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Questo articolo richiede quindi di documentare le violazioni di dati personali, sebbene non si specifichi come tale operazione vada svolta. In supporto ai titolari del trattamento, il WP250 rev. 01 “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679”, adottate il 3 ottobre 2017 – Versione emendata e adottata in data 6 febbraio 2018, consiglia di utilizzare un “Registro delle violazioni” che includa quelle non notificate al Garante.
La corretta predisposizione di un Registro delle violazioni è pertanto un’azione fondamentale, per comprovare che tutte le azioni richieste al titolare per la gestione dei Data Breach siano state osservate, ma anche per fare valutazioni di azioni preventive in merito a incidenti informatici. Sarebbe infatti un errore focalizzarsi unicamente sulle conseguenze sanzionatorie di un eventuale illecito: al contrario, per lavorare in un’ottica di prevenzione degli incidenti e considerare i vantaggi che possono derivare da una corretta organizzazione delle procedure di gestione del Registro dei Data Breach, risultano interessanti i seguenti 10 suggerimenti del Garante olandese.
1. Descrivere in maniera chiara e completa gli incidenti
Il Registro dei Data Breach dovrebbe descrivere in maniera dettagliata l’incidente di sicurezza. Data e ora dell’episodio, momento in cui si è venuto a conoscenza dello stesso, fonte di segnalazione potrebbero essere utili elementi da tracciare.
Tutto ciò offrirà l’opportunità di monitorare l’efficienza del sistema di rilevazione degli incidenti, elemento spesso sottovalutato nei sistemi di gestione dei dati, e a cui invece si legano sia importanti aspetti tecnici (in particolare per incidenti di natura informatica), sia aspetti organizzativi e di sensibilizzazione del personale.
2. Distinguere misure preventive e misure correttive
Si ricorda che mentre le Azioni correttive hanno lo scopo di eliminare la causa di una non violazione ai dati personali, le Azioni preventive hanno l’obiettivo di eliminare la causa potenziale della violazione per evitare che si ripresenti.
Entrambe le misure dovranno essere inserite nel Registro, indicando infine anche le misure che dovrebbero essere implementate in futuro.
3. Evitare di frammentare le registrazioni degli incidenti
La documentazione raccolta sui Data Breach è funzionale quando organizzata come una panoramica sul sistema di gestione del dato. Evitare differenze nel livello di dettaglio degli eventi registrati e regolare la gestione di tutte le violazioni attraverso un’unica procedura (messa a disposizione di tutto il personale), permetterà di raccogliere le informazioni in modo uniforme e consentirà all’organizzazione di effettuare delle valutazioni d’insieme. L’organizzazione potrà pertanto sfruttare meglio le esperienze passate per evitare o prevenire ulteriori incidenti futuri.
4. Riportare se e come il DPO è stato coinvolto negli eventi e nella registrazione degli stessi
Tra i suoi compiti del DPO vi sono quelli di cooperare con l’autorità di controllo e fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento. Conviene pertanto considerare sempre un suo coinvolgimento nella gestione della violazione dei dati personali e nella compilazione del Registro delle violazioni. Non è da escludere il completo affidamento del compito di compilazione del Registro allo stesso DPO.
5. Riportare le segnalazioni all’Autorità di controllo e ai soggetti coinvolti
In fase di gestione delle violazioni, non tutti i Data Breach verranno notificati all’Autorità di controllo, e non tutti i Data Breach notificati dovranno essere necessariamente comunicati agli interessati. La scelta di effettuare tali comunicazioni dovrà dipendere dalla valutazione sulla presenza di rischio per i diritti e le libertà degli interessati, e sull’entità dello stesso. È quindi fondamentale documentare tali scelte, le ragioni che le hanno determinate, e stabilire preventivamente i criteri di valutazione del rischio.
6. Agire con trasparenza nei confronti delle persone interessate
Nello svolgimento di un’eventuale comunicazione agli interessati, i titolari del trattamento devono tenere in considerazione il modo migliore per effettuare tale comunicazione, l’urgenza e la sicurezza dei possibili metodi. Si suggerisce perciò di indicare nel Registro delle violazioni le motivazioni che hanno guidato le scelte sulla modalità di comunicazione, allegando ad ogni episodio le prove di tali comunicazioni, che dovranno essere sempre archiviate e conservate.
7. Preparare un manuale e formare il personale incaricato della registrazione della violazione dei dati
Come già evidenziato in altri punti, la predisposizione di una procedura o di un manuale che guidi le operazioni di gestione del Data Breach e di compilazione del Registro delle violazioni è il modo migliore per assicurarsi di rispettare tutti gli adempimenti. Inutile sottolineare che, agendo d’anticipo, si potrà evitare (o, almeno, ridurre) il panico tipico delle situazioni d’urgenza: avendo già designato le attività da svolgere, il rispetto del termine di 72 ore verrà facilitato.
8. Riportare quali altre organizzazioni sono state coinvolte in una violazione
Sempre in un’ottica di miglioramento e prevenzione, tenere traccia degli altri eventuali soggetti (Titolari, Responsabili o sub-Responsabili del trattamento) che sono stati coinvolti nella violazione di dati personali, nonché del livello di coinvolgimento degli stessi, risulterà utile per definire anche gli aspetti da trattare in fase di stipula o rinnovo di contratti.
9. Classificare le violazioni dei dati
Una classificazione dei tipi di violazione di dati, in relazione alla natura dell’incidente, alle sue conseguenze, alle parti interessate e alle misure attivate, può essere d’aiuto per monitorare gli sviluppi nel tempo del proprio sistema di sicurezza. Inoltre, l’organizzazione potrà basarsi su queste informazioni per stabilire i successivi interventi di implementazione consentendo una programmazione delle risorse da coinvolgere.
10. Discutere regolarmente la registrazione della violazione dei dati al livello giusto all’interno dell’organizzazione come parte di un ciclo di pianificazione-controllo / apprendimento.
Le informazioni raccolte nel Registro dovrebbero essere regolarmente discusse al corretto livello di gestione tra le funzioni aziendali coinvolte, e diventare parte integrante di un ciclo di pianificazione-esecuzione-controllo-azione finalizzato allo sfruttamento degli incidenti come opportunità di apprendimento e miglioramento continuo.