Data Breach: i ruoli degli autorizzati

Data Breach
Data Breach_ i ruoli degli autorizzati (3)

Gli Autorizzati rivestono un ruolo tutt’altro che marginale nella gestione di un evento di Data Breach. Vediamone il perché.

 Chiara Ponti
Ufficio Compliance

L’Autorizzato

 

Preliminarmente, definiamo bene chi sono gli autorizzati, ed in che cosa si caratterizzano e distinguono dagli altri attori/protagonisti del Regolamento europeo in materia di protezione dati personali meglio noto come GDPR.

É il soggetto che, agendo sotto la responsabilità del Titolare del trattamento o del Responsabile del trattamento, ha accesso materialmente ai dati personali. In una parola: li tratta, nell’accezione più ampia data dall’art. 4 del GDPR.

Più in generale, l’Autorizzato è colui che, dal punto di vista operativo, deve attuare tutte le misure indicate dal Titolare, in relazione al ruolo ricoperto.

Si tratta di una figura la cui importanza la si ricava dall’art. 29 del GDPR a mente del quale «…il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».

Per completezza, rammentiamo che il novellato Codice Privacy (D.lgs. 101/2018) introduce una “nuova” figura, all’art. 2 quaterdecies, il cd “designato” il quale oggi, in estrema sintesi, presenta tratti di somiglianza con il responsabile interno di ieri[1], ex ante riforma (D.lgs. 196/2003).

La nomina, le attribuzioni e le responsabilità


La nomina è l’atto con il quale, formalmente, si attribuisce a chi tratta dati personali il ruolo di persona autorizzata. Essa può essere concepita tanto come un documento stand alone da consegnare all’atto dell’assunzione preferibilmente o al momento dell’attribuzione di un nuovo incarico, quanto una integrazione formale al mansionario aziendale – job description.

All’interno della filiera degli Autorizzati, specie nelle realtà di una certa complessità, può sussistere una gerarchia.

Nel nostro contesto, ad esempio, avendo avuto la necessità di adottare un Modello di Governance ad hoc, abbiamo individuato tutte le persone che trattano dati e creato due specifiche categorie: l’una di coordinamento denominata “Privacy Coordinator” con poteri ed attribuzioni di un livello superiore; l’altra più operativa cd “Privacy Contact”, con prescrizioni e funzioni più mirate.

Gli Incidenti di Sicurezza ed il temuto Data Breach

In virtù delle attività eseguite e della normativa cogente tuttora in vigore, sono identificabili alcuni tipi di Incidenti di Sicurezza tra cui analizziamo, in particolare, quello delle Informazioni ed il Data Breach Privacy (Art. 33 del Regolamento 679/2016).

Incidente di Sicurezza delle Informazioni

Per incidente di Sicurezza delle Informazioni, si intendono tutti quegli eventi che hanno un impatto negativo sul Sistema Informativo ed i Servizi Erogati e quindi indirettamente sul Business Aziendale, ed in particolare che hanno un effetto significativo sui tre fattori Riservatezza Integrità e Disponibilità delle Informazioni.

Data Breach Privacy

Qualora l’incidente riguardi la sfera dei Diritti degli Interessati e solo nella misura in cui si verifichino riflessi negativi sui Diritti degli Interessati. Anche in questo caso occorre effettuare un’apposita segnalazione all’Autorità Garante Privacy entro e non oltre 72 ore da quando si è venuti a conoscenza dell’accertata violazione.

La gestione del Data Breach ed il ruolo degli Autorizzati

 

L’Autorizzato così come deve segnalare qualsiasi tipo di variazione dei trattamenti in corso o di problematica pertinente alla materia della privacy, a maggior ragione deve svolgere un ruolo attivo nella gestione di un Data Breach.

É infatti verosimile che sia proprio l’Autorizzato ad accorgersi. Anzi, proprio lui è chiamato ad essere maggiormente sensibilizzato in questi temi attraverso formazione mirata e simulazioni di Data Breach.

Anche per questi motivi le istruzioni che gli devono essere fornite dal Titolare devono essere quanto mai specifiche e dettagliate.

Come si devono comportare gli Autorizzati?

Proprio come da Procedura grazie alla quale entrano in gioco diversi attori:

  • il Team di Gestione degli Incidenti;
  • l’Ufficio Compliance e tutto lo staff del Modello Organizzativo Privacy direttamente coinvolto;
  • il Titolare del Trattamento, informato dall’Ufficio Compliance;
  • il DPO opportunamente informato dall’Ufficio Compliance.

Le evidenze

In conclusione, analizziamo le evidenze. Qualora si sia verificato un Data Breach, dopo gli adempimenti di legge come la notifica al Garante, è fondamentale tenerne traccia compilando, in ogni caso, il Registro degli Incidenti/Data Breach con tutte le informazioni utili e necessarie relativamente all’evento che, grazie ad un tool come GoPrivacy, sarebbero facilmente inserite, gestite e conservate.

[1] In altri termini, il Dirigente può essere configurato come “designato”. Unitamente alla designazione occorre fare una valutazione del “portafoglio”, posto che le finalità siano sempre e solo in carico al Titolare, poiché il soggetto giuridico deputato a stabilire, mentre i mezzi sovente sono stabiliti dal dirigente di funzione, nel pieno rispetto peraltro del principio di accountability.

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su linkedin
Condividi su twitter
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.