Prepariamoci al peggio, perché il rischio di un Data Breach esiste in qualsiasi momento e l’evento potrebbe presentarsi con le modalità più inaspettate. Non stiamo parlando semplicemente del prevedibile attacco informatico che mette a repentaglio l’intero database di una azienda e di ogni Titolare, ma anche di episodi che sembrano ai confini dell’inverosimile ma più frequenti di quanto si possa immaginare. Basti pensare anche al caso, recentemente riportato dalle cronache, dei biker che minacciano i clienti dei servizi di consegna cibo a casa di divulgare i nomi di chi non lascia loro la mancia; quello del dipendente di una qualsiasi azienda che scopre la retribuzione dei colleghi, ma anche lo smarrimento di un computer o di un cellulare aziendale o anche il furto o la distruzione di un archivio cartaceo. Sono tutte situazioni in cui il dato personale, che il titolare dovrebbe proteggere, è andato perso in maniera forse irrimediabile, ovvero si trova nella disponibilità di chi non doveva conoscerlo.

Interessante e significativo come il GDPR, agli articoli 33 e 34 che disciplinano le procedure da avviare in caso di data breach, non tenga nel benché minimo conto l’azienda che subisce l’attacco o è vittima della perdita del dato: i due articoli si occupano esclusivamente delle comunicazioni che devono essere date, rispettivamente, all’autorità di controllo e all’interessato. Giustamente, si ritiene, la norma si preoccupa di chi deve essere tutelato e vede i suoi diritti violati da un comportamento, più o meno colpevole, di chi doveva proteggere i dati che gli erano stati conferiti.

Le conseguenze per il Titolare, siano esse amministrative, civili o, in ipotesi ben definite, penali, poco importano a chi ha voluto porre al centro del sistema l’Interessato. Da qui la disciplina prevista.

Cosa si intende per Data Breach e cosa occorre fare in tali casi?
Per violazione dei dati personali o “data breach” si intende qualsiasi evento che possa comportare, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali conservati o comunque trattati dal Titolare. 

La violazione può influire sulla loro riservatezza, l’integrità e la disponibilità. Con tre semplici termini sono pertanto ricomprese una infinità di possibili ipotesi. Si noti anche che il GDPR non opera alcuna distinzione tra le tre tipologie indicate, né differenzia in alcun modo i livelli di gravità del data breach. Tutto ciò però, ripetiamo, riguarda gli aspetti interni alla struttura del Titolare; le conseguenze verso l’esterno a cominciare dalle eventuali sanzioni e risarcimenti del danno, dovranno essere oggetto di apposita valutazione nei termini appresso esposti.

Tornando ai comportamenti da tenere, il GDPR impone l’immediata comunicazione all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si è venuti a conoscenza del data breach. Laddove esista la figura del Responsabile del Trattamento, è questi che deve darne comunicazione al Titolare perché possa attivarsi presso il Garante. L'articolo 33 è particolarmente significativo in quanto indica i diversi livelli che distinguono le responsabilità e, pertanto, le attività che le due figure sono tenute a svolgere.

Il successivo articolo 34 GDPR indica che cosa deve essere fatto nel caso in cui il Data Breach metta a repentaglio i diritti e le libertà dell’interessato. Si tratta di un’operazione che ha alla sua base un’attenta attività di analisi e di valutazione da parte del Titolare e del Responsabile del Trattamento, che possono esimersi nei casi contemplati al terzo comma, in cui si verifichino condizioni che impediscano l’uso dei dati da parte di terzi: ad esempio in caso di dati criptati.

Da questa disciplina si noti come rimanga esclusa la figura del Data Protector Officer, o Responsabile della Protezione Dati, i cui compiti sono ben diversi anche per la sua particolare collocazione nell’organigramma aziendale, che lo pone in una posizione gerarchica sostanzialmente equiparata a quella di un dirigente ma con responsabilità ben diverse e indicate nel successivo art. 39. Dall’analisi di queste norme emerge come assumano importanza le lettere di incarico per i Responsabili della Sicurezza e l’indicazione di mansioni, doveri e responsabilità.

Come accennato, la disciplina del GDPR non indica i comportamenti che, dal punto di vista tecnico o materiale verso la sicurezza dei dati e dei sistemi, dovrà tenere il Titolare che ha subito il Data Breach. Ovviamente dovrà attivarsi come riterrà più opportuno, muovendosi all’interno di quelle privacy by design e by default che sono alla base della disciplina ma, si noti, tenendo presente che il Data Breach potrebbe avere rivelato più o meno gravi falle in quanto posto in essere. Opportuna in ogni caso una segnalazione alla compagnia di assicurazione, laddove ci si sia premuniti, per far aprire il sinistro, ma anche predisporre adeguate strategie legali di difesa a fronte non solo delle possibili sanzioni da parte del Garante, ma anche di risarcimento danni da parte degli interessati. Danni la cui valutazione dipenderà dall’entità e impatto del Data Breach e sulla tipologia di dati conservati e del loro possibile utilizzo.