C’è un aforisma nel mondo della information security che recita “non ti chiedere se ti capiterà mai un data breach, ma piuttosto quando sarà il tuo turno”. Nel dominio della protezione dei dati personali, la sicurezza dei dati è principio di liceità del loro uso, quindi la sicurezza dei dati è una condizione del loro uso legittimo. E’ comprensibile, perciò, che se qualcosa va storto il legislatore si preoccupi che l’incidente venga gestito nel migliore dei modi, partendo da una pronta capacità ricognitiva (indagine forensica) e dalla condivisione dei fatti con l’autorità di controllo competente. La notifica all’autorità, dettata dall’articolo 33 del GDPR, è un importante adempimento: l’innesco dell’obbligo, al superamento di una soglia di rischio molto bassa, e i ridotti termini per l’effettuazione, rendono la notifica uno dei principali aspetti da presidiare all’interno dell’organizzazione aziendale, nell’ambito della procedura di gestione dei data breach.

La maggior parte delle autorità di controllo degli Stati membri ha previsto moduli, formulari o procedure telematiche volte a guidare i titolari e rendere più agevole questo compito. In questo mese di giugno sia il Garante italiano sia l’autorità spagnola hanno apportato modifiche alle modalità di notifica che in questa puntata mettiamo a confronto.

Novità spagnola e italiana in tema di notifica

Il 15 giugno sul sito web istituzionale dell’autorità spagnola (“AEPD” o “Agenzia”) è stato ufficializzato il nuovo modulo di notifica dei data breach che, secondo l’autorità iberica, semplifica la notifica, guidando il titolare attraverso specifiche domande che indirizzano gli aspetti informativi che vanno notificati. 

Il Garante italiano, analogamente all’AEPD, sta per rilasciare una procedura telematica che sostituisce il precedente modello, prevedendo la raccolta di ulteriori informazioni rispetto a prima.  Il provvedimento del 27/5/2021 dell’autorità italiana (doc. web n. 9667201), con cui viene approvata la nuova procedura telematica, motiva questa iniziativa con «l’elevato numero di notifiche di violazione dei dati personali che pervengono al Garante e che talvolta risultano prive di alcune informazioni necessarie per una compiuta valutazione (…) rendendo così necessaria la successiva acquisizione di ulteriori elementi in ordine ai fatti e alle circostanze relative alla violazione dei dati personali». 

Ulteriori strumenti di supporto

In aggiunta al modulo elettronico, l’Agenzia spagnola aveva diffuso in precedenza una guida informativa riguardo ai presupposti per l’obbligatorietà della notifica e ad altri aspetti sul data breach, insieme a uno strumento informatico “Comunica-la violazione GDPR” allo scopo di assistere i titolari nel valutare se, in caso di violazione dei dati personali, sia necessario anche provvedere alla comunicazione agli interessati, in base all’articolo 34 del GDPR.

 

Figura 1 – La pagina web introduttiva dello strumento dell’AEPD per valutare l’obbligo di comunicazione agli interessati.

Dal suo canto, il Garante italiano aveva già reso disponibile sul proprio sito web istituzionale, nell’area “Servizi”, un tool di autovalutazione strutturato mediante risposte univoche a quesiti che indirizzano il compilatore verso una corretta gestione del processo, di cui abbiamo dato notizia nell’Alert del 31/12/2020. 

 

Figura 2 – La pagina web introduttiva dello strumento di autovalutazione del Garante italiano.

 

Questo tool di auto-valutazione, con funzione di mero ausilio in quanto la responsabilità della valutazione è di stretta competenza del titolare, informa l’utente – fornendo anche brevi spiegazioni ed esempi – in merito all’obbligatorietà della notifica dell’incidente all’autorità.

Anche il Garante italiano completa il suo kit di supporto con una pagina informativa sulla violazione di dati personali e le istruzioni per l’uso della procedura telematica di notifica.