LAST NEWS
Mancata tracciabilità di 125 kg di prodotti alimentari, multa e denunciaSulla non responsabilità del DdL per un infortunioWhatsapp: Garante privacy, informativa agli utenti poco chiara. L’Autorità intenzionata ad intervenire anche in via d’urgenzaLa sicurezza nel campionamento di suoli con possibile presenza di amiantoFascicolo sanitario elettronico: nessuna scadenza per l’inserimento dei datiGarante privacy a un call center: tutelare la dignità dei lavoratoriTik Tok, a rischio la privacy dei minori: il Garante avvia il procedimento contro il social networkNorme igieniche e precauzioni per la ristorazione con servizio d’asporto e a domicilio: linee guida ISSQuestura non rettifica i dati, il Garante privacy sanziona il Ministero dell’internoWi-Fi pubblico gratuito, il Garante chiede all’Agid più tutele per gli utentiTelemarketing aggressivo. Dal Garante privacy sanzione a Vodafone per 12 milioni 250 mila euroReferti on line accessibili ad altri pazienti, il Garante sanziona un policlinicoNuove ispezioni del Garante su fatturazione elettronica, data breach e food deliverySpid: ok del Garante privacy a nuove modalità per il rilascio dell’identità digitaleConcorsi pubblici, Garante: i dati dei partecipanti devono essere blindatiReferti online – Le domande più frequentiDpcm, Conte: I sindaci possono chiudere le piazze. Didattica in presenzaNuovo Dpcm di ottobre: mascherine all’aperto, divieto di ballo e limiti alle festeFascicolo Sanitario ElettronicoRaccomandate non consegnate, multa di 5 milioni a Poste Italiane da Antitrust

GDPR – La gestione dei Data Breach: notifica all’Autorità e comunicazione agli interessatidata breach

La sezione del GDPR dedicata alla sicurezza dei dati personali è composta da tre articoli: uno, l’art. 32, dedicato alle misure di sicurezza, i due successivi dedicati alla gestione delle violazioni di sicurezza.

È bene ricordarlo sempre e mantenere, nell’affrontare gli articoli dedicati alla gestione dei Data Breach, una prospettiva complessiva: nell’articolo 32, cioè nella necessità di avere una strategia per la sicurezza delle informazioni basata sull’analisi dei rischi, stanno, infatti, le premesse degli articoli 33 e 34, centrati sulla notifica all’Autorità di controllo e l’eventuale comunicazione agli interessati.

Una strategia di sicurezza deve essere onnicomprensiva. Deve riguardare, cioè, la prevenzione, la capacità di rilevare le violazioni e, infine, la reazione di contrasto dell’attacco e di mitigazione degli effetti.

Una strategia di sicurezza a 360 gradi

La gestione dei Data Breach, per come è regolata dall’art. 33, è un’azione del Titolare che, però, può svilupparsi solo quando il Titolare viene a conoscenza di un evento di sicurezza. Detto questo, è necessario occuparsi del fatto che le statistiche internazionali ci dicono che il tempo che le organizzazioni impiegano ad accorgersi di una violazione è mediamente di 201 giorni.

Se la strategia di sicurezza di cui all’art. 32 non include misure volte a incidere su questo indicatore, se cioè non prevede interventi migliorativi della capacità dell’organizzazione di accorgersi delle violazioni di sicurezza subite, allora anche le energie dedicate a organizzare al meglio la gestione dei Data Breach rischiano di essere sprecate.

Non solo: anche la pretesa del Titolare di non essere corresponsabile dei danni prodotti dalla violazione rischia di essere minata alla base.

Non vi è conformità all’articolo 32 né corretta applicazione degli articoli 33 e 34 se la strategia di sicurezza posta in essere dal Titolare non include in modo integrato misure di prevention, detection e reaction del Data Breach che siano complessivamente adeguate.

Data Breach: valutazione discrezionale, ma attenzione

Venendo ora al tema specifico della gestione dei Data Breach, più che l’indicazione delle 72 ore come tempo massimo (a meno di giustificazioni) per la notifica dei Data Breach all’Autorità di Controllo, è opportuno sottolineare l’inciso che segue, nell’articolo, tale prescrizione: “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Questo inciso obbliga il Titolare a una valutazione discrezionale che consente di evitare un eccesso di notifica che rischierebbe di vanificare la norma. Lo espone, però, al rischio di non notificare un evento che, contro ogni aspettativa, potrebbe risultare, successivamente, in un danno per i diritti e le libertà di cui sopra.

Essendo evidente che l’esercizio di questa discrezionalità non può essere caricato sulle spalle di coloro che operativamente si trovino a gestire il Data Breach (in condizioni di emergenza e gravati della necessità di rispettare le 72 ore) risulta altrettanto chiaro che la casistica degli eventi debba essere classificata anticipatamente e la risposta dell’organizzazione debba essere predefinita dal Titolare con una decisione formale, sostenuta da argomentazioni adeguate di cui il Titolare stesso si assuma la responsabilità.

La fondatezza delle argomentazioni sarà la base su cui costruire la non responsabilità del Titolare anche a fronte del verificarsi della situazione improbabile descritta sopra.

Più importante è, comunque, occuparsi di un altro profilo di responsabilità del Titolare in caso di Data Breach, quello che si sostanzia a fronte di una inadeguata capacità di reazione all’evento di sicurezza, a partire dal momento in cui il Titolare ne viene a conoscenza.

Il tempo che intercorre fra la scoperta della violazione e il momento in cui l’ultimo degli interessati è posto nella condizione di adottare le misure di autotutela a sua disposizione (disattivare una carta di credito, cambiare la password, …) se non è ridotto al minimo da misure di contrasto, contenimento e mitigazione poste in essere sollecitamente dal Titolare, può diventare un tempo che delinea per il Titolare una sorta di corresponsabilità e lo espone a richieste di risarcimento.

Sotto questo profilo, la comunicazione agli interessati, normata dall’art. 34, è solo uno degli aspetti della strategia di reazione ai Data Breach che una politica di sicurezza adeguata deve considerare; e le sanzioni, eventualmente derivanti da un’applicazione non corretta dell’articolo (solo una e neppure la principale delle esposizioni del Titolare conseguenti al Data Breach) possono avere un impatto importante sull’azienda: anche un piccolo risarcimento a milioni di possessori di carte credito potrebbe risultare ben più rilevante.

In sintesi, dunque, la corretta applicazione degli articoli 33 e 34 ha le radici nella corretta applicazione dell’articolo 32: la sezione del GDPR dedicata alla sicurezza delle informazioni si tiene tutta insieme e non può essere considerata per parti separate.


Fonte: zerounoweb.it

WIDGET-WPSACADEMY

WIDGET-SPOTTV

WPS Group è certificata ISO 9001:2015

Quality Management System
EA 35A & 37
ISO 9001 2015

Newsletter WPS

ico emailRimani aggiornato per non perdere novità e promozioni!

RICORDATI …

“Follia è fare sempre la stessa cosa aspettandosi risultati diversi”

Albert Einstein