Modalità di intervento in caso di violazione dei dati personali – data breach. Casi pratici e buone prassi
a cura di Mauro Monaco
(funzionario pubblico, componente di organismi di valutazione e formatore)
Il 2 febbraio 2021 si è svolto un webinar dal titolo “DATA BREACH: ISTRUZIONI PER L’USO“, dedicato alla trattazione delle modalità di intervento in caso di violazione dei dati personali (data breach) e all’illustrazione di casi pratici e di buone prassi. L’evento è stato organizzato dalla società Management and Consulting srl di Roma (www.mandc.it), che ha voluto raccontare le evidenze raccolte nell’esercizio della funzione di Responsabile Protezione Dati (RPD o DPO) in diverse Amministrazioni comunali e società in controllo pubblico in questi due anni e mezzo di applicazione del Regolamento UE n. 2016/679 (GDPR).
In particolare, si è partiti dall’idea di condividere le esperienze maturate dal RPD relativamente ai casi concreti di violazione dei dati personali (data breach) con l’obiettivo di fornire gli strumenti per prevenire il verificarsi di tali situazioni di criticità e, al contempo, per affrontare eventuali casi analoghi.
Sono stati quindi illustrati sei casi di violazione di dati personali verificatisi nell’ambito di trattamenti di dati effettuati da Amministrazioni Pubbliche, per i quali il RPD ha prestato assistenza al Titolare del trattamento per l’attuazione degli adempimenti previsti dagli artt. 33 e 34 del GPDR. I casi sono stati classificati in due categorie: violazioni ascrivibili all’utilizzo non corretto di dispositivi informatici e violazioni conseguenti alle pubblicazioni di dati eccedenti sul sito internet ai sensi del D.Lgs. n. 33/2013.
Per quanto riguarda la prima categoria, le situazioni riscontrate hanno riguardato l’utilizzo della posta elettronica e in particolare l’invio di comunicazioni mail a destinatari indesiderati, con conseguenti comunicazioni non autorizzate di dati personali, a causa del suggerimento automatico dell’indirizzo del destinatario da parte del sistema di gestione della posta, e in occasione dell’invio di una mail a molteplici destinatari senza inserire gli indirizzi degli stessi nella barra “CCN” (copia nascosta), in modo da evitare che ciascun destinatario venisse a conoscenza degli indirizzi di posta elettronica degli altri. In tali occasioni, il RPD, oltre a prestare la dovuta assistenza al Titolare del trattamento nella gestione del data breach ha anche predisposto e fatto veicolare una circolare ai dipendenti dell’ente interessato richiamando le misure di sicurezza da adottare non solo nell’utilizzo della corrispondenza elettronica verso l’esterno, ma, più in generale, nell’utilizzo di dispositivi elettronici, banche dati informatiche e supporti di memorizzazione, tenuto conto, in particolare, che tali aspetti hanno assunto particolare rilevanza nell’ultimo anno, in cui si è diffuso ampiamente, a causa dell’emergenza sanitaria, lo smart working.
Per quanto attiene invece alla seconda categoria di violazioni, sono state analizzate le pubblicazioni, effettuate ai sensi degli artt. 14 e 15 del D.Lgs. n. 33/2013, del curriculum vitae dei dipendenti con incarichi dirigenziali e dei consulenti esterni, che hanno generato una violazione dei dati personali degli stessi, in considerazione dell’avvenuta pubblicazione di dati eccedenti rispetto alle finalità delle suddette norme, che costituiscono la base giuridica delle pubblicazioni. Anche in questi casi, il RPD, dopo aver fornito il necessario supporto al Titolare del trattamento per la gestione del data breach, ha predisposto, in chiave preventiva, una specifica circolare in materia, dedicata al personale che cura tali pubblicazioni, richiamando il quadro legislativo che presidia l’annosa questione relativa al bilanciamento tra obblighi di trasparenza e obblighi di protezione dei dati personali, evidenziando in particolare il doveroso rispetto, in tale ambito, dei principi di necessità, minimizzazione e non eccedenza delle informazioni oggetto di pubblicazione (in particolare quando il trattamento riguarda particolari categorie di dati, meritevoli di una tutela rafforzata) e richiamando, altresì, le connesse problematiche relative alla indicizzazione dei dati, alle diverse tipologie di pubblicazioni (albo pretorio e amministrazione trasparente) e alla conseguente diversa durata delle stesse.
Sono state, inoltre, affrontate le modalità di gestione del data breach, analizzando l’intero flusso delle attività da porre in essere da parte del Titolare del trattamento, dal momento della rilevazione della violazione, fino alla registrazione della stessa, analizzando le singole attività (azioni di mitigazione della violazione, valutazione del rischio, gestione delle eventuali comunicazioni agli interessati, simulazione della compilazione del modello di notifica al Garante).
Infine, sono stati analizzati alcuni tra i casi pratici contenuti nelle linee guida, adottate il 14/01/2021 dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio.
Il taglio pratico ed operativo del webinar, basato su esperienze concrete, ha consentito di attrarre un’ampia platea di partecipanti e, soprattutto, di fornire agli stessi gli “strumenti del mestiere” che, auspicabilmente, arricchiranno il patrimonio organizzativo degli Enti partecipanti.
