Le tutele dalla violazione o fuga di dati sono uno dei punti cardine del GDPR e del progressivo percorso di digitalizzazione del mercato del lavoro. Analizziamo insieme alcuni suggerimenti operativi.
La trasformazione digitale sta aumentando progressivamente le informazioni sul web e con l’aumento di trattamento di queste informazioni digitali, tra cui quelle di tipo identificativo e particolare (ex art. 9 GDPR), che sono proprio l’oggetto principale della tutela della privacy normata dal GDPR, la disciplina della cybersecurity può fare la differenza.
All’interno di questo contesto trova ampio spazio il tema della coordinazione del data breach, sia in termini preventivi, che di gestione operativa. In base alle previsioni dell’art. 4, punto 12), del Regolamento Europeo 2016/679, si intende per data breach “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Un incidente di sicurezza è un qualsiasi evento che può manifestarsi a seguito di un malfunzionamento hardware o software, di un attacco informatico o di un comportamento umano doloso o accidentale; il data breach non è altro che un particolare tipo di incidente di sicurezza che coinvolge dati personali, in seguito al quale il titolare del trattamento non è più in grado di garantire l’osservanza dei principi relativi al trattamento dei dati personali previsti dal Regolamento.
Consigli operativi per la gestione di un data breach
– Individuando le misure per la sicurezza del trattamento, tenere conto dei rischi che potrebbero derivare da un eventuale data breach.
– Effettuare periodicamente vulnerability assessment e patching dei sistemi.
– Trasformare gli utenti da anello debole della catena a prima linea di difesa, incoraggiandoli a segnalare situazioni anomale.
– Documentare tutti i ragionamenti che sono alla base delle decisioni prese in risposta a un data breach.
– Imparare anche dagli errori degli altri.
Altri aspetti notevoli: tempestività e reputazione
– Non aspettare che si verifichi un data breach per predisporre procedure efficaci per gestirlo.
– Non notificare al Garante tutti i data breach, ma solo quelli che presentano rischi per i diritti e le libertà degli interessati.
– Quando avviene un data breach, non pensare agli effetti per il proprio business, ma piuttosto ai possibili effetti negativi per gli interessati.
– Non sottovalutare i rischi presentati da un data breach.
– Non vedere la comunicazione di un data breach agli interessati come un’ammissione di colpa, ma piuttosto come uno strumento di trasparenza nei loro confronti.
Autore: Barbara Garbelli – Sistema Ratio Centro Studi Castelli
Foto: archivio Qdpnews.it
#Qdpnews.it