Come anticipato nella nostra guida sui Data Breach, gli Autorizzati rivestono un ruolo tutt’altro che marginale nella gestione di un evento di Data Breach. Vediamone il perché.
Chiara Ponti
L’Autorizzato
Preliminarmente, definiamo bene chi sono gli autorizzati, ed in che cosa si caratterizzano e distinguono dagli altri attori/protagonisti del Regolamento europeo in materia di protezione dati personali meglio noto come GDPR.
É il soggetto che, agendo sotto la responsabilità del Titolare del trattamento o del Responsabile del trattamento, ha accesso materialmente ai dati personali. In una parola: li tratta, nell’accezione più ampia data dall’art. 4 del GDPR.
Più in generale, l’Autorizzato è colui che, dal punto di vista operativo, deve attuare tutte le misure indicate dal Titolare, in relazione al ruolo ricoperto.
Si tratta di una figura la cui importanza la si ricava dall’art. 29 del GDPR a mente del quale «…il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».
Per completezza, rammentiamo che il novellato Codice Privacy (D.lgs. 101/2018) introduce una “nuova” figura, all’art. 2 quaterdecies, il cd “designato” il quale oggi, in estrema sintesi, presenta tratti di somiglianza con il responsabile interno di ieri[1], ex ante riforma (D.lgs. 196/2003).
La nomina, le attribuzioni e le responsabilità
La nomina è l’atto con il quale, formalmente, si attribuisce a chi tratta dati personali il ruolo di persona autorizzata. Essa può essere concepita tanto come un documento stand alone da consegnare all’atto dell’assunzione preferibilmente o al momento dell’attribuzione di un nuovo incarico, quanto una integrazione formale al mansionario aziendale – job description.
All’interno della filiera degli Autorizzati, specie nelle realtà di una certa complessità, può sussistere una gerarchia.
Nel nostro contesto, ad esempio, avendo avuto la necessità di adottare un Modello di Governance ad hoc, abbiamo individuato tutte le persone che trattano dati e creato due specifiche categorie: l’una di coordinamento denominata “Privacy Coordinator” con poteri ed attribuzioni di un livello superiore; l’altra più operativa cd “Privacy Contact”, con prescrizioni e funzioni più mirate.
Gli Incidenti di Sicurezza ed il temuto Data Breach
In virtù delle attività eseguite e della normativa cogente tuttora in vigore, sono identificabili alcuni tipi di Incidenti di Sicurezza tra cui analizziamo, in particolare, quello delle Informazioni ed il Data Breach Privacy (Art. 33 del Regolamento 679/2016).
Incidente di Sicurezza delle Informazioni
Per incidente di Sicurezza delle Informazioni, si intendono tutti quegli eventi che hanno un impatto negativo sul Sistema Informativo ed i Servizi Erogati e quindi indirettamente sul Business Aziendale, ed in particolare che hanno un effetto significativo sui tre fattori Riservatezza Integrità e Disponibilità delle Informazioni.
Data Breach Privacy
Qualora l’incidente riguardi la sfera dei Diritti degli Interessati e solo nella misura in cui si verifichino riflessi negativi sui Diritti degli Interessati. Anche in questo caso occorre effettuare un’apposita segnalazione all’Autorità Garante Privacy entro e non oltre 72 ore da quando si è venuti a conoscenza dell’accertata violazione.
La gestione del Data Breach ed il ruolo degli Autorizzati
L’Autorizzato così come deve segnalare qualsiasi tipo di variazione dei trattamenti in corso o di problematica pertinente alla materia della privacy, a maggior ragione deve svolgere un ruolo attivo nella gestione di un Data Breach.
É infatti verosimile che sia proprio l’Autorizzato ad accorgersi. Anzi, proprio lui è chiamato ad essere maggiormente sensibilizzato in questi temi attraverso formazione mirata e simulazioni di Data Breach.
Anche per questi motivi le istruzioni che gli devono essere fornite dal Titolare devono essere quanto mai specifiche e dettagliate.
Come si devono comportare gli Autorizzati?
Proprio come da Procedura grazie alla quale entrano in gioco diversi attori:
- il Team di Gestione degli Incidenti;
- l’Ufficio Compliance e tutto lo staff del Modello Organizzativo Privacy direttamente coinvolto;
- il Titolare del Trattamento, informato dall’Ufficio Compliance;
- il DPO opportunamente informato dall’Ufficio Compliance.
Le evidenze
In conclusione, analizziamo le evidenze. Qualora si sia verificato un Data Breach, dopo gli adempimenti di legge come la notifica al Garante, è fondamentale tenerne traccia compilando, in ogni caso, il Registro degli Incidenti/Data Breach con tutte le informazioni utili e necessarie relativamente all’evento che, grazie ad un tool come GoPrivacy, sarebbero facilmente inserite, gestite e conservate.
[1] In altri termini, il Dirigente può essere configurato come “designato”. Unitamente alla designazione occorre fare una valutazione del “portafoglio”, posto che le finalità siano sempre e solo in carico al Titolare, poiché il soggetto giuridico deputato a stabilire, mentre i mezzi sovente sono stabiliti dal dirigente di funzione, nel pieno rispetto peraltro del principio di accountability.
