L’EDPB, sigla in inglese del Comitato europeo per la protezione dei dati, ha rilasciato la versione aggiornata al 2023 delle linee guida sulla gestione dei data Data Breach.
Ecco le principali novità presentate con la nuova pubblicazione.
Pubblicazione diagramma di flusso operativo in caso di Data Breach
L’EDPB (European Data Protection Board) ha pubblicato uno schema che indica le attività da svolgere in caso di data breach.
In questo schema, visualizzabile a pag. 30 del documento visualizzabile a questo link, si evidenzia che:
- Nel registro del Data Breach bisogna indicare tutte le violazioni di dati, non solo quelle che rappresentano un rischio per gli interessati. L’esempio riportato è quello di un’azienda che, a causa di un breve blackout, non risulta temporaneamente raggiungibile dagli interessati che vogliono esercitare i loro diritti. Tale blackout deve essere riportato nel registro indicando le circostanze dell’evento.
- Il flusso operativo parte dal momento in cui il titolare del trattamento viene a conoscenza della violazione. Questo è importante per definire esattamente il giorno e l’orario da cui decorrono i tempi ristretti (72 ore) per effettuare la notifica al garante e la comunicazione agli interessati.
N.B. l’essere venuti a conoscenza in ritardo di una violazione non rappresenta una scusa ma anzi un aggravante passibile di sanzione in quanto il titolare deve aver adottato misure di sicurezza e procedure che permettano di scoprire velocemente eventuali violazioni. - Il primo step da fare dopo aver scoperto il data breach è effettuare una valutazione dei rischi per gli interessati seguita, se necessario, da una comunicazione agli stessi. La valutazione deve tenere conto di molteplici aspetti tra cui non solo la natura dei dati compromessi e il numero di interessati coinvolti, ma anche eventuali loro caratteristiche particolari (es. anziani, minori, soggetti vulnerabili) e la tipologia di appartenenza del titolare (es. ospedale).
- Oltre alla valutazione del rischio, è necessario individuare le azioni da intraprendere per contenere il rischio ed evitare che l’accaduto si ripeta.
Specifiche per le comunicazioni agli interessati
Nel caso in cui il rischio per la libertà e i diritti degli interessati sia molto elevato, l’organizzazione deve effettuare una comunicazione agli interessati coinvolti.
Tale comunicazione deve spiegare in modo chiaro e con un linguaggio semplice:
- La natura del data breach e le probabili conseguenze per gli interessati
- Azioni intraprese (o che si consigliano agli interessati) per contenere gli effetti della violazione (es. aggiornare la password dell’account)
- Come ottenere eventuali maggiori informazioni attraverso i contatti del DPO
Inoltre tale comunicazione deve essere:
- Facilmente distinguibile dalle comunicazioni “ordinarie” (es. non è consentito minimizzare l’accaduto comunicandolo all’interno di una newsletter periodica)
- Fornita con un mezzo di comunicazione efficace, possibilmente individuale (es. email). Non sono considerati tali la notizia sul blog aziendale o tramite comunicato stampa.
- Se non può essere trasmessa con una comunicazione individuale, è obbligatorio diffonderla attraverso più canali es. social media aziendali, stampa
- Realizzata con la lingua utilizzata normalmente per le comunicazioni con gli utenti/clienti. Se la violazione riguarda i dati trattati per conto di terzi o interessati con cui in precedenza non vi è stata nessun’altra interazione, la comunicazione deve essere presentata in più lingue per essere maggiormente comprensibile.
Altre specifiche dalle linee guida EDPB aggiornate
- Anche la compromissione di dati già disponibili pubblicamente o valutati “sicuri” contro accessi non autorizzati (perché protetti da un adeguato sistema di crittografia) sono da considerare violazioni e come tali vanno riportati nel registro dei data breach
- Il registro dei data breach può essere affidato al DPO anche se non rientrano nelle sue mansioni usuali
- In caso di violazione il DPO dell’azienda deve fornire consulenza all’organizzazione, opinioni sulle valutazioni di impatto nonché fungere da tramite tra Garante e Titolare, al quale l’organizzazione deve fornire i dati e i contatti del DPO
- Validità del meccanismo “one-stop-shop”: nel caso un’organizzazione tratti i dati di cittadini di più paese UE, può scegliere di limitare la notifica della violazione solamente all’autorità del Paese nel quale è presente la propria rappresentanza
- Se l’azienda non ha una propria rappresentanza in territorio UE ma tratta dati di cittadini di molteplici stati UE, la notifica va presentata presso le autorità garanti di ciascuno di questi stati coinvolti.
- In questi casi la notifica deve essere svolta dal titolare del trattamento/rappresentante del titolare ma non dal DPO.
Conclusioni
La nuova versione delle linee guida EDPB sulla gestione dei Data Breach presenta molte interessanti specifiche ed esempi che permettono alle organizzazioni di capire sempre meglio seguire correttamente la normativa GDPR.
Rispetto all’aggiornamento delle linee guida dell’anno scorso, consultabili in questo articolo, vi è stato un maggiore focus sul flusso operativo legato alla scoperta/notifica del data breach, sull’importanza di riportare sul registro dei data breach anche le violazioni meno impattanti nonché sulle modalità di comunicazione della violazione al pubblico.
Ciò evidenzia l’importanza per le organizzazioni di possedere un piano di gestione dei data breach chiaro e ben strutturato. La tua organizzazione non ha un piano di data breach?
Richiedi l’intervento dei nostri esperti cliccando sul pulsante sottostante.