In primo luogo il GDPR determina l’essenzialità della notifica della violazione dei dati all’autorità e della comunicazione ai soggetti interessati quando il data breach mette a rischio le libertà e i diritti di un individuo. Per esempio, se in un ospedale si verifica la perdita di accesso ai dati sanitari dei pazienti si tratterà di un potenziale rischio elevato per i diritti degli individui, ma se la stessa situazione si riscontrasse in un’azienda che effettua strategie di marketing non sarà certo necessario procedere alla notifica dell’evento. I termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di un data breach vengono specificati negli articoli 33 e 34 del Regolamento EU 16/679 che entrerà in vigore il 25 maggio 2018.

Come notificare una violazione

Il termine entro cui notificare la violazione dei dati personali è fissato in 72 ore dal momento in cui il titolare del trattamento dei dati ne viene a conoscenza. La consapevolezza del titolare, quindi, è considerato il momento in cui iniziano a decorrere i termini della notifica: a tal proposito il Gruppo di Lavoro ex articolo 29 ha meglio specificato come sia importante avere un “ragionevole grado di certezza” dato da indagini approfondite, quando necessarie. Se l’incidente di sicurezza richiede maggiori controlli e verifiche, non potremo ancora ritenere il titolare a sufficiente conoscenza dei fatti tanto da dover notificare l’accaduto. Tuttavia sarà un’azione tempestiva, anche se solo di indagine, a rendere corretto il comportamento del titolare che quindi non dovrà prorogare troppo a lungo la fase investigativa.

Per tutte le aziende è raccomandato un piano di sicurezza che riguardi la struttura organizzativa. Anche il responsabile del trattamento, come prospettato dalle stesse linee guida, potrà notificare la violazione per conto del titolare, anche se a lui restano le responsabilità a essa collegate. L’autorità di controllo a cui segnalare il data breach è quella garante dello stato, come definito dall’articolo 55 del General Data Protection Regulation. Se il trattamento dei dati valica i confini territoriali nazionali allora l’autorità capofila sarà considerata quella situata nel Paese membro presso cui si trova lo stabilimento principale o l’unico stabilimento del titolare o del responsabile.

Cosa succede dopo

Con la notifica della violazione si dà il via ufficiale alla procedura, ma non sempre il titolare potrebbe essere in in possesso di tutti gli elementi che servono per effettuare una descrizione esaustiva dell’infrazione. Per questo il GDPR mette a disposizione alcune modalità che permettono di trovare il giusto compromesso tra la celerità del messaggio e la sua completezza.

Approssimazione, innanzitutto: il titolare può inizialmente comunicare un ammontare approssimativorelativo al numero di persone interessate effettuando così una notifica in più fasi. Se la complessità o l’estensione della violazione non consentono di fornire all’autorità tutte le informazioni necessarie allora potrà farlo in più step contenenti nuovi e maggiori aggiornamenti sui nuovi riscontri. Dopo le 72 ore previste dall’articolo 33 del nuovo Regolamento Europeo, si può procedere anche con una notifica differita nel caso in cui un’impresa subisca violazioni ripetute, ravvicinate e di simile natura che interessino un numero elevato di soggetti.

Come comunicare il data breach all’interessato

Oltre alla notifica all’autorità di controllo, i titolari hanno anche l’obbligo di effettuare la comunicazione agli interessati in modo che possano organizzare la loro tutela. Importante notare come i due rischi coinvolti siano differenti: il dovere di notifica è semplice mentre quello di comunicazione è elevato. È preferibile che la comunicazione all’interessato sia diretta, con un messaggio trasparente, e non contenuto all’interno di newsletter o update vari, linguisticamente adeguato al destinatario e visualizzabile con possibili formati alternativi. Il Regolamento non prevede oneri eccessivi e quindi nel caso in cui la segnalazione diretta richieda uno sforzo ritenuto sproporzionato, allora si potrà utilizzare una comunicazione pubblica che dovrà essere ugualmente efficace nel contatto diretto con l’interessato.

Centrale nel GDPR resta tuttavia il concetto di prevenzione al fine di ridurre il rischio di perdita, distruzione o diffusione non autorizzata di dati.

FONTE: Privacylab BLOG