Data Breach: come fare il registro delle violazioni

MILANO - Nel caso di violazioni dei dati personali, il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista) senza indebiti ritardi e, se possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve inoltre comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. In ogni caso il titolare del trattamento, a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Come ha spiegato il WP29, nelle Linee guida "WP250" sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679, il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni, indipendentemente dal fatto che sia tenuto a effettuare la notifica o meno.

Sebbene spetti al titolare del trattamento determinare quale metodo e struttura utilizzare per documentare una violazione, determinate informazioni chiave dovrebbero essere sempre incluse. Ad esempio il titolare del trattamento è tenuto a registrare i dettagli relativi alla violazione, comprese le cause, i fatti e i dati personali interessati. Dovrebbe altresì indicare gli effetti e le conseguenze della violazione e i provvedimenti adottati per porvi rimedio.

Per agevolare i titolari del trattamento, Federprivacy ha elaborato uno schema-tipo di registro delle violazioni, che reca in maniera il più possibile fedele gli elementi richiesti dalla normativa. 

Il Regolamento UE non specifica un periodo di conservazione della documentazione, pertanto spetta al titolare del trattamento stabilire il periodo appropriato di conservazione: dovrà conservare la documentazione, nella misura in cui può essere chiamato a fornire prove all’autorità di controllo in merito al rispetto di tale articolo oppure, più in generale, del principio di responsabilizzazione.

Non si dimentichi, infine, che, sempre richiamando le citate Linee Guida, sarebbe vantaggioso tanto per il titolare del trattamento quanto per il responsabile del trattamento disporre di una procedura di notifica documentata, che stabilisca la procedura da seguire una volta individuata una violazione, compreso come contenere, gestire e porre rimedio all’incidente, valutare il rischio e notificare la violazione. A questo proposito, per dimostrare il rispetto del regolamento potrebbe anche essere utile dimostrare che i dipendenti sono stati informati dell’esistenza di tali procedure e meccanismi e che sanno come reagire alle violazioni.

La mancata corretta documentazione di una violazione può comportare l’esercizio da parte dell’autorità di controllo dei suoi poteri ai sensi dell’articolo 58 Gdpr e l’imposizione di una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 Gdpr.

(Articolo di Antonio Ciccia Messina)