Il Garante – che nel frattempo ha lanciato anche un restyling del proprio brand – ha reso disponibile sul proprio sito web istituzionale un utile strumento esplicativo della gestione delle violazioni di dati personali (“data breach”).

Pagina Garante

Figura 1 – La pagina web del Garante per i servizi sul data breach.

La pagina di atterraggio per i servizi collegati al data breach, come riportato in figura, contengono i collegamenti ipertesto per quanto riguarda:

  • la pagina informativa sul tema
  • lo strumento di auto-valutazione
  • il modello di notifica al Garante in adempimento dell’art. 33 GDPR.

1. Pagina informativa

Pagina informativa GPDP

Figura 2 – La pagina informativa del Garante sul data breach.

La pagina informativa – come altre dello stesso tipo su ulteriori temi – raccoglie informazioni di natura sia concettuale (come cosa sia una “violazione di dati personali”) che operativa (ad esempio, come inviare la notifica al Garante).

Da questa pagina si è anche in grado di risalire, mediante appositi collegamenti ipertesto, a: 

  • i documenti sul tema emessi dal Gruppo di lavoro dell’art. 29 e dall’EDPB 
  • i provvedimenti e gli approfondimenti della stessa autorità.

2. Strumento di auto-valutazione

Lo strumento di auto-valutazione è accompagnato dal “disclaimer” d’obbligo, con cui si precisa la funzione di mero «ausilio al processo decisionale del titolare del trattamento»: le conclusioni cui si perviene mediante l’utilizzo dello strumento non possono essere opposte alle autorità, nè al Garante nè a quella giudiziaria, come presunzione di correttezza della valutazione operata. La valutazione finale, difatti, rientra nella esclusiva competenza e responsabilità del titolare del trattamento; non diversamente, in verità, da quanto già avviene con l’uso della metodologia ENISA sulla valutazione del rischio, peraltro predisposta con il contributo di alcune autorità privacy.

Figura 3 – La prima pagina del tool di auto-valutazione del Garante sul data breach.

Il tool è strutturato mediante risposte univoche a quesiti che indirizzano il compilatore verso una corretta gestione del processo. Ad esempio, le prime domande mirano a stabilire se si cade nell’ambito applicativo della disciplina sulle violazioni di dati personali: in base alle risposte fornite, il compilatore ha contezza se l’incidente in oggetto ha natura meramente “tecnica” o, di converso, ha generato impatti sui dati personali e, quindi, esso chiama in causa le pertinenti prescrizioni del GDPR.

Le domande sono assistite da brevi spiegazioni ed esempi.

Il tool persegue anche una funzione formativa specificando modalità non strettamente funzionali alla notifica ma ad esse connesse; come nel caso in cui viene chiesto al compilatore se egli è il titolare o il responsabile del trattamento oggetto di violazione; potendo così evidenziare all’eventuale responsabile che l’obbligo di notifica spetta al titolare, di converso il responsabile è tenuto a informare senza indugio il proprio titolare. 

Valutazione del rischio conseguente

Il tool non supporta l’utente nel processo di valutazione del rischio derivante dalla valutazione ma rinvia alle linee guida EDPB (wp250 rev.01) ed alla metodologia ENISA descritta nelle Raccomandazioni.

Qualche perplessità la solleva la domanda «È probabile che la violazione presenti un rischio per i diritti e le libertà degli interessati?» che potrebbe indurre in errore sull’individuazione della soglia dell’obbligo. La formulazione letterale del testo del regolamento, infatti, impone l’obbligo della notifica «a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche»: di conseguenza, la soglia della prescrizione è data dalla valutazione della “improbabilità” anzichè della “probabilità”; in questa forchetta “improbabilità-probabilità”, vi è la “possibilità” che ugualmente fa scattare l’obbligo di notifica. In definitiva, se si ritiene “improbabile” il rischio per i diritti e le libertà dell’interessato, non vi sarà obbligo di notifica ma solo quello di registrare l’incidente nell’apposita documentazione; negli altri casi, invece, la notifica è obbligatoria. 

Valutazione del rischio elevato

Anche la valutazione del rischio elevato – che innesca l’ulteriore obbligo della comunicazione agli interessati (art. 34 del GDPR) – non è assistita dallo strumento ma rimessa alla separata valutazione del titolare. Questa seconda soglia, infatti, è regolata dalla risposta alla domanda «La violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche?».

Conclusioni sullo strumento

In conclusione, lo strumento dell’autorità sembra essere maggiormente un tool esplicativo-formativo piuttosto che di auto-valutazione nella determinazione del rischio conseguente ad un data breach, al fine di stabilire l’obbligatorietà della notifica dell’incidente all’autorità.

Operativamente, come peraltro suggerito nel medesimo strumento, come ausilio nella valutazione del rischio conseguente ad un data breach è consigliabile che i titolari del trattamento facciano ricorso alla metodologia ENISA che offre evidenze logico-argomentative a sostegno del giudizio finale sul rischio determinatosi.

3. Modello di notifica

Il modello di notifica già disponibile non sembra aver subito modifiche. La notifica non deve necessariamente essere effettuata ricorrendo a tale modello ma il suo uso è consigliabile, in quanto riduce il rischio di trasmettere informazioni carenti o incomplete, sebbene prescritte dal provvedimento del Garante (doc. web n. 9126951).