Protezione dei dati: violazioni della sicurezza e responsabilità attiva. Opzioni e obblighi

Tra le novità che l'Europa, nella sua costante missione di sensibilizzazione sull'importanza della protezione dei dati personali, si è lasciata alle spalle, troviamo l'implementazione della figura della "violazione della sicurezza" nel REGOLAMENTO (UE) 2016/679 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Nell'ordinamento spagnolo, il Regolamento è stato recepito attraverso la Legge Organica 3/2018, del 5 dicembre, sulla Protezione dei Dati Personali e la garanzia dei diritti digitali, sotto il nome di "incidente di sicurezza", che a sua volta deriva nell'Agenzia Spagnola per la Protezione dei Dati (AEPD) lo sviluppo degli strumenti, delle guide, delle linee guida e degli orientamenti che sono necessari per fornire ai professionisti, alle micro, piccole e medie imprese le linee guida adeguate per il rispetto degli obblighi di responsabilità attiva.

Ma che cos'è una violazione della sicurezza? L'AEPD chiarisce che una violazione della sicurezza è un incidente di sicurezza che riguarda i dati personali. Tale incidente può avere un'origine accidentale o intenzionale e può riguardare anche dati trattati in formato digitale o cartaceo. In generale, si tratta di un evento che comporta la distruzione, la perdita, l'alterazione, la comunicazione o l'accesso non autorizzato ai dati personali.

La normativa sulla protezione dei dati ha sempre richiesto la tenuta di un registro degli incidenti, che nella versione aggiornata sarebbero le "violazioni", quindi la vera novità non è tanto l'obbligo di tenere questo registro, ma l'obbligo di segnalare qualsiasi violazione della sicurezza alle autorità competenti (Agenzia spagnola per la protezione dei dati) entro 72 ore.

In questo caso, e sebbene il regolamento non determini le azioni specifiche che i responsabili e gli incaricati del trattamento devono mettere in atto, imponendo il concetto generico di responsabilità attiva o proattiva, la questione è che, per essere in grado di adottare misure in caso di violazione della sicurezza o di incidente, il responsabile del trattamento deve essere preparato a questa possibilità e aver stabilito quali azioni devono essere intraprese in caso di violazione.

Come prepararsi?

Esistono due meccanismi, il registro delle attività e la valutazione d'impatto, che, sebbene il regolamento ne stabilisca l'obbligatorietà solo quando c'è la probabilità che comporti un rischio elevato, la raccomandazione è di essere consapevoli di quali dati personali vengono trattati, con quali mezzi e dei rischi che possono esistere, e di disporre di meccanismi per rilevare le violazioni della sicurezza dei dati personali.

Cosa fare in caso di violazione?

Il responsabile del trattamento avvierà un piano d'azione per risolvere la violazione, ridurne al minimo le conseguenze e registrare azioni ed eventi localizzati e aggiornati per evitare che si verifichino in futuro e comunicare quando la violazione della sicurezza è stata rilevata e risolta.

Pertanto, altrettanto importante che risolvere la violazione e ridurre al minimo i rischi per le persone interessate è imparare da essa, identificando dove si è verificato il fallimento nei processi di gestione delle informazioni. Pertanto, fa parte del principio di responsabilità proattiva documentare dettagliatamente la violazione e le azioni intraprese per gestirla e prevenirla in futuro.

Paloma Aguilar (Avvocato T&L)