Protezione dei dati: violazioni della sicurezza e responsabilità attiva. Scelte e obblighi

Tra le novità che l'Europa si è lasciata alle spalle, nella sua costante missione di sensibilizzazione sull'importanza nella protezione dei dati personali, troviamo l'introduzione della figura del «gap di sicurezza» nel REGOLAMENTO (UE) 2016/679 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Nel diritto spagnolo, il regolamento è stato recepito con la legge organica 3/2018, del 5 dicembre, sulla protezione dei dati personali e sulla garanzia dei diritti digitali, con il nome di «incidente di sicurezza», che a sua volta porta all'Agenzia Spagnola per la protezione dei dati (AEPD) lo sviluppo di strumenti, guide, linee guida e linee guida necessarie per fornire a professionisti, microimprese e piccole e medie imprese linee guida adeguate per il rispetto degli obblighi di responsabilità attiva.

Ma in cosa consiste la violazione della sicurezza? , l'AEPD chiarisce che una violazione della sicurezza è un incidente di sicurezza che riguarda i dati personali. Questo incidente può avere un'origine accidentale o intenzionale e può influire anche sui dati trattati digitalmente o in formato cartaceo. In generale, si tratta di un evento che causa la distruzione, la perdita, l'alterazione, la comunicazione o l'accesso non autorizzato ai dati personali.

Le normative sulla protezione dei dati ci hanno sempre richiesto di tenere un registro degli incidenti, che nella loro versione aggiornata sarebbero queste «violazioni», quindi la vera novità non è tanto quella di effettuare questo registro, ma ora è obbligatorio segnalare qualsiasi violazione della sicurezza alle autorità competenti (Agenzia Spagnola per la Protezione dei Dati) entro 72 ore.

Stando così le cose, e sebbene lo standard non determini le azioni specifiche che i gestori e i gestori dei dati devono aver implementato, imponendo il concetto generico di responsabilità attiva o proattiva, la domanda è che, per poter adottare misure in caso di violazione o incidente di sicurezza, il responsabile del trattamento deve essere preparato a questa possibilità e aver stabilito quali azioni devono essere intraprese in caso di violazione.

Come prepararsi?

Esistono due meccanismi, la registrazione delle attività e la valutazione dell'impatto, che sebbene il regolamento ne stabilisca l'obbligo solo quando è probabile che comporti un rischio elevato, la raccomandazione è di essere consapevoli di quali dati personali vengono trattati, con quali mezzi e rischi possono esistere e di disporre di meccanismi per rilevare le violazioni della sicurezza dei dati personali.

Cosa fare in caso di violazione?

Il responsabile del trattamento dei dati deve avviare il suo piano d'azione per risolvere la violazione, minimizzarne le conseguenze e registrare le azioni e gli eventi individuati e su cui si è agito, per evitare che si verifichi in futuro, nonché per comunicare quando la violazione della sicurezza è stata rilevata e risolta.

Pertanto, tanto importante quanto risolvere il divario e ridurre al minimo i rischi per le persone colpite, è imparare da esso, raccogliendo dove l'errore è stato radicato nei processi di gestione delle informazioni. Pertanto, fa parte del principio della responsabilità proattiva documentare in dettaglio il divario e le azioni intraprese per gestirlo e prevenirlo in futuro.

Paloma Aguilar (Avvocato T&L)