- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
GDPR – La gestione dei Data Breach: notifica all’Autorità e comunicazione agli interessati
La sezione del GDPR dedicata alla sicurezza dei dati personali è composta da tre articoli: uno, l’art. 32, dedicato alle misure di sicurezza, i due successivi dedicati alla gestione delle violazioni di sicurezza.
È bene ricordarlo sempre e mantenere, nell’affrontare gli articoli dedicati alla gestione dei Data Breach, una prospettiva complessiva: nell’articolo 32, cioè nella necessità di avere una strategia per la sicurezza delle informazioni basata sull’analisi dei rischi, stanno, infatti, le premesse degli articoli 33 e 34, centrati sulla notifica all’Autorità di controllo e l’eventuale comunicazione agli interessati.
Una strategia di sicurezza deve essere onnicomprensiva. Deve riguardare, cioè, la prevenzione, la capacità di rilevare le violazioni e, infine, la reazione di contrasto dell’attacco e di mitigazione degli effetti.
Una strategia di sicurezza a 360 gradi
La gestione dei Data Breach, per come è regolata dall’art. 33, è un’azione del Titolare che, però, può svilupparsi solo quando il Titolare viene a conoscenza di un evento di sicurezza. Detto questo, è necessario occuparsi del fatto che le statistiche internazionali ci dicono che il tempo che le organizzazioni impiegano ad accorgersi di una violazione è mediamente di 201 giorni.
Se la strategia di sicurezza di cui all’art. 32 non include misure volte a incidere su questo indicatore, se cioè non prevede interventi migliorativi della capacità dell’organizzazione di accorgersi delle violazioni di sicurezza subite, allora anche le energie dedicate a organizzare al meglio la gestione dei Data Breach rischiano di essere sprecate.
Non solo: anche la pretesa del Titolare di non essere corresponsabile dei danni prodotti dalla violazione rischia di essere minata alla base.
Non vi è conformità all’articolo 32 né corretta applicazione degli articoli 33 e 34 se la strategia di sicurezza posta in essere dal Titolare non include in modo integrato misure di prevention, detection e reaction del Data Breach che siano complessivamente adeguate.
Data Breach: valutazione discrezionale, ma attenzione
Venendo ora al tema specifico della gestione dei Data Breach, più che l’indicazione delle 72 ore come tempo massimo (a meno di giustificazioni) per la notifica dei Data Breach all’Autorità di Controllo, è opportuno sottolineare l’inciso che segue, nell’articolo, tale prescrizione: “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Questo inciso obbliga il Titolare a una valutazione discrezionale che consente di evitare un eccesso di notifica che rischierebbe di vanificare la norma. Lo espone, però, al rischio di non notificare un evento che, contro ogni aspettativa, potrebbe risultare, successivamente, in un danno per i diritti e le libertà di cui sopra.
Essendo evidente che l’esercizio di questa discrezionalità non può essere caricato sulle spalle di coloro che operativamente si trovino a gestire il Data Breach (in condizioni di emergenza e gravati della necessità di rispettare le 72 ore) risulta altrettanto chiaro che la casistica degli eventi debba essere classificata anticipatamente e la risposta dell’organizzazione debba essere predefinita dal Titolare con una decisione formale, sostenuta da argomentazioni adeguate di cui il Titolare stesso si assuma la responsabilità.
La fondatezza delle argomentazioni sarà la base su cui costruire la non responsabilità del Titolare anche a fronte del verificarsi della situazione improbabile descritta sopra.
Più importante è, comunque, occuparsi di un altro profilo di responsabilità del Titolare in caso di Data Breach, quello che si sostanzia a fronte di una inadeguata capacità di reazione all’evento di sicurezza, a partire dal momento in cui il Titolare ne viene a conoscenza.
Il tempo che intercorre fra la scoperta della violazione e il momento in cui l’ultimo degli interessati è posto nella condizione di adottare le misure di autotutela a sua disposizione (disattivare una carta di credito, cambiare la password, …) se non è ridotto al minimo da misure di contrasto, contenimento e mitigazione poste in essere sollecitamente dal Titolare, può diventare un tempo che delinea per il Titolare una sorta di corresponsabilità e lo espone a richieste di risarcimento.
Sotto questo profilo, la comunicazione agli interessati, normata dall’art. 34, è solo uno degli aspetti della strategia di reazione ai Data Breach che una politica di sicurezza adeguata deve considerare; e le sanzioni, eventualmente derivanti da un’applicazione non corretta dell’articolo (solo una e neppure la principale delle esposizioni del Titolare conseguenti al Data Breach) possono avere un impatto importante sull’azienda: anche un piccolo risarcimento a milioni di possessori di carte credito potrebbe risultare ben più rilevante.
In sintesi, dunque, la corretta applicazione degli articoli 33 e 34 ha le radici nella corretta applicazione dell’articolo 32: la sezione del GDPR dedicata alla sicurezza delle informazioni si tiene tutta insieme e non può essere considerata per parti separate.
Fonte: zerounoweb.it