Come notificare un Data Breach al Garante?

Forse non tutti lo sanno, ma il 30 luglio è nato un nuovo modello ufficiale per notificare un Data Breach al Garante grazie al Provvedimento 157 riguardo l’articolo 33 del GDPR che prevede la notifica al titolare da parte del Responsabile del Trattamento.

Sicuramente la notifica risulta ancora più onerosa, ma cosa bisogna fare in caso di una violazione dei dati personali? Innanzitutto scaricare il modulo messo a disposizione dal Garante, attualmente disponibile a questo link –> http://bit.ly/2KdY84T e inserire i seguenti dati:

• Dati di chi fa la notifica: titolare o, se presente, il DPO.
• Dati del Titolare del Trattamento: nome, Codice Fiscale/P.IVA, residenza – indicando anche il contatto di riferimento. Se è il DPO indicare anche il protocollo assegnato dal Garante ed eventuali riferimenti aggiuntivi.
• Dati relativi alla violazione: data esatta in cui si è verificata, come e quando il titolare lo ha saputo, la causa, i dati e i soggetti coinvolti e la loro “numerosità” e se ci sono stati ritardi nella comunicazione indicarne le motivazioni.
• Dettagli sulla violazione: indicare l’incident che ha portato alla violazione, i dati, le strutture impattate, i sistemi informativi coinvolti, indicando dove sono e come sono protetti.
• Conseguenze e gravità: il titolare dovrà indicare quali sono le possibili conseguenze della violazione e dare una stima della gravità, valutando la natura dell’attacco e delle persone interessate.
• Misure adottate: indicare cosa si è fatto per rimediare al Data Breach e le misure adottate per evitare che si ripeta.
• Comunicazione: si dovrà indicare se gli interessati sono stati informati e in caso negativo si dovrà giustificane il motivo.Altro: si dovranno indicare ulteriori dettagli e magari indicare gli estremi di altre segnalazioni già effettuate alle autorità.

Una volta compilato il modulo dovrà essere sottoscritto tramite firma digitale dal Titolare e inviato all’indirizzo protocollo@pec.gpdp.it con in oggetto la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI”. Ovviamente per attenersi a quanto appena descritto non si può agire a seguito di una violazione, ma bisogna essere pronti a reperire tempestivamente le informazioni, avendo precedentemente implementato processi e sistemi utili ad essere preparati in caso di Data Breach.

I punti da valutare sono molti e su ambiti diversi, per cui, se internamente non si hanno tutti le skill necessarie, ci si dovrà affidare a qualcuno che possa aiutarci. Si potrà, ad esempio, richiedere un assessment GDPR per valutare la propria situazione, sia procedurale che informatica, per sapere in quale ambito agire. Oppure si può richiedere il “DPO as a Service” che svolgerà la continua verifica senza nominare un DPO interno evitando così gli oneri che potrebbe esserci. Le aree di Consulting e di CyberSecurity dovranno essere entrambe protagoniste dell’analisi e della realizzazione delle misure di sicurezza richieste.