Gestione procedure Data Breach

Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.

il Codice privacy ha introdotto uno specifico obbligo di notifica dei data breach esclusivamente per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. In altri settori (dati biometrici, dossier sanitario e pubbliche amministrazioni) l’obbligo è stato prescritto attraverso puntuali provvedimenti del Garante privacy. Il nuovo Regolamento, invece, attribuisce alla notifica una funzione essenziale di tutela degli interessati ed estende tale obbligo alla generalità dei titolari di trattamento.

In quest’ottica, la risposta all’evento di data breach è da considerarsi come un vero e proprio processo aziendale, con referenti specifici, fasi ben delineate, metodologie di analisi testate e output chiari, che consistono non solo nel decidere in 72 ore “se notificare”, ma anche quali sono le misure di mitigazione da porre in essere, per l’azienda e per l’interessato, al fine di ridurre il rischio e le conseguenze del breach a cui i dati personali sono stati esposti.

Vale la pena ricordare che non è possibile eliminare il rischio, ma con un approccio metodologico e organizzativo strutturato è possibile ridurre la probabilità legata ad esso e mitigarne le conseguenze.