Il tema dei data breach, o violazioni di dati personali, vive quasi una doppia realtà: quella degli addetti ai lavori (cioè di chi si occupa di sicurezza informatica e protezione dei dati), per i quali ogni giorno si evidenziano nuovi incidenti e nuove tecniche di attacco, e sono consapevoli dell’enormità del problema e dei rischi; e quella del grande pubblico, per il quale il tema semplicemente non esiste (almeno finché non si viene coinvolti in un incidente, sperimentandone quindi le conseguenze). In questo secondo caso rientrano purtroppo anche le PMI, che nella stragrande maggioranza dei casi quasi ignorano il problema, limitandosi a implementare le misure di sicurezza basilari che i consulenti informatici faticosamente impongono, ed illudendosi di essere al sicuro.

Il risultato di questa situazione è che praticamente tutti i piccoli incidenti, quelli con conseguenze minime o proprio assenti, vengono completamente ignorati. Ma il Regolamento sulla protezione dei dati personali (GDPR) impone che tutti gli incidenti che coinvolgono dati personali, anche quelli senza conseguenze, vengano quanto meno “documentati”, cioè registrati con una serie di evidenze e di dettagli a corredo. Il registro di tali eventi può essere richiesto sia durante un’ispezione riguardante la conformità alla normativa sui dati personali, sia a seguito di una violazione comunicata al Garante dal titolare o segnalata dagli interessati; la mancanza di tale registro, o il suo “scarno” contenuto, sono passibili di sanzione e soprattutto possono diventare causa di un’indagine più approfondita.

Non a caso, il tema del data breach è spesso presente nelle attività del Garante per la protezione dei dati personali, siano esse attività formative o di sensibilizzazione, siano esse ispettive o sanzionatorie (per esempio, il tema è stato inserito nelle attività ispettive programmate del secondo semestre 2021, ed ha portato ad alcune sanzioni). E di riflesso, il tema viene sempre più spesso ripreso nelle trattative per i contratti di servizio che comportano la nomina a responsabile del trattamento: il titolare richiede, tra i vari requisiti necessari alla stipula di un contratto, anche quello della presenza di una procedura per la gestione dei data breach. In sostanza, il tema dei data breach non può più essere lasciato da parte.

Sensibilizzazione e implementazione

Pertanto, abbiamo deciso di promuovere un’attività che punta a sensibilizzare i nostri clienti riguardo al rispetto puntuale di questa parte della normativa, quindi a svolgere attività formative dedicate al data breach/violazioni di dati personali e a far adottare per tutti una procedura di gestione.

L’attività in questione comprende:

  • un seminario formativo live dedicato ai referenti/responsabili privacy, in cui saranno dettagliatamente spiegati tutti gli aspetti della normativa al riguardo (adozione e redazione del registro, procedura di gestione, riconoscimento delle violazioni, comunicazioni delle violazioni, contromisure);
  • l’adozione di una procedura di gestione dei data breach, specifica per ogni cliente, a partire da un modello che verrà proposto e presentato nel seminario formativo;
  • una lezione registrata (con questionario di verifica) dedicata al riconoscimento e segnalazione delle violazioni, da far seguire a tutte le persone autorizzate.

La necessità della procedura

Perché è necessaria una procedura per la gestione di un data breach? In realtà, la procedura non è tanto utile come “manuale”, ma come promemoria specificatamente aziendale di quali attori sono coinvolti nei vari passaggi, nonché delle modalità scelte dall’azienda per poterli portare avanti. In pratica, la procedura serve a dare una risposta a queste, tra le altre, domande: che forma ha il registro delle violazioni? dove si trova o come si accede? chi è deputato alla sua compilazione? quali soggetti possono essere coinvolti per la compilazione?

Questo perché la gestione di una violazione non fa parte delle normali attività giornaliere, ed è comprensibile che i lavoratori non siano consapevoli di come e quando agire; l’importante è che siano consapevoli dell’esistenza di questa procedura, e che possano consultarla quando risulta necessario.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.