La gestione dei data breach: va progettata preventivamente!

La gestione dei data breach: va progettata preventivamente!

Il crescente numero di attacchi informatici legati ai ransomware, ha aumentato l’attenzione sulla disciplina dei data breach e sulla loro corretta gestione.

Si verifica una violazione dei dati personali – così detto “data breach” – quando il Titolare del trattamento non è in grado, anche solo per un periodo limitato, di assicurare la riservatezza, l’integrità o la disponibilità delle informazioni. A fronte di tale evento, il Titolare ha l’obbligo di valutare quali sono le conseguenze che possono derivarne per l’interessato. Ad esempio, il furto di credenziali di accesso ai servizi di home banking potrebbe comportare seri danni materiali per gli interessati; oppure, la perdita di dati riguardanti la salute, comporterebbe potenzialmente gravi danni fisici per i pazienti.

Il GDPR prevede che il Titolare, alla luce delle considerazioni circa l’impatto del data breach sui diritti e le libertà degli interessati, deve valutare se è necessario notificare la violazione al Garante e a darne comunicazione all’interessato. I criteri di cui tener conto per queste considerazioni sono, in sintesi: la perdita di controllo sui dati personali, la limitazione dei diritti, le potenziali discriminazioni, il furto o la frode d’identità, le perdite finanziarie, i danni alla reputazione, la divulgazione non autorizzata di dati personali protetti da segreto professionale, oltre ad ogni impatto di natura economica o sociale.

La norma europea stabilisce tempi particolarmente stringenti (72 ore), entro i quali dovrà essere svolta la valutazione e la notifica al Garante.

La complessità delle valutazioni da svolgere e i limiti imposti dalla norma determinano la necessità di un’attenta gestione dei data breach, attraverso strumenti dedicati. In particolare, il Titolare del trattamento deve dotarsi di strumenti di compliance che consentano di valutare i rischi in termini di limitazione dei diritti e delle libertà degli interessati, con valenza preventiva; in aggiunta, è essenziale stabilire una procedura di corretta gestione delle violazioni e di un metodo di analisi dei possibili impatti sugli interessati, che consentano di valutare il contesto nel quale si è verificato il data breach e la relativa entità.

Per rispettare i principi dettati dalle norme occorre che questi strumenti siano progettati e inseriti nel sistema di gestione privacy, in modo da non essere impreparati nel caso si verifichi una violazione. Come per tutti gli aspetti riguardanti la protezione dei dati personali, giocare d’anticipo è la carta vincente.

DataConSec da oltre 15 anni affianca quotidianamente le più importanti imprese italiane e multinazionali, offrendo la propria esperienza per rafforzarne la governance e la compliance in modo integrato, dall’applicazione normativa alla Business Security.