Chi visse sperando...

 ...e arrivò il data breach.

Non servirà a molto desiderare che l'evento di violazione dei dati non sia mai accaduto, salvo particolari strategie che coinvolgono monete, fontane magiche e qualche leprechaun.



La sola programmazione delle strategie di contenimento degli effetti derivanti da potenziali eventi di violazione dei dati, inoltre, non può generalmente essere sufficiente a soddisfare i requisiti di sicurezza prescritti dall'art. 32 GDPR il quale deve essere letto, per considerarne la portata applicativa temporale, con l'art. 25 GDPR il quale prescrive l'adozione di tutte le misure (di compliance e di sicurezza) "sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso" evidenziando così un'esigenza di adottare un approccio preventivo e non soltanto rimediale.

Va ricordato che il parametro per valutare la gravità (o magnitudo) del rischio deve essere il danno fisico, materiale o immateriale (considerando n. 83) alle persone fisiche, ma ciò non toglie che per la selezione di un'opzione di trattamento del rischio individuato possano essere considerati anche parametri ulteriori quali, ad esempio, l'impatto dell'evento sull'attività aziendale e i costi correlati.
.
Essere GDPReady è (anche)...prevenire i data breaches.

Commenti